Gemeenteblad van Deventer
Datum publicatie | Organisatie | Jaargang en nummer | Rubriek |
---|---|---|---|
Deventer | Gemeenteblad 2022, 525913 | beleidsregel |
Zoals vergunningen, bouwplannen en lokale regelgeving.
Adressen en contactpersonen van overheidsorganisaties.
U bent hier:
Datum publicatie | Organisatie | Jaargang en nummer | Rubriek |
---|---|---|---|
Deventer | Gemeenteblad 2022, 525913 | beleidsregel |
Beleidsnota risicomanagement en weerstandsvermogen - actualisering 2014
De gemeenschappelijke omgeving van de gemeente Deventer is de afgelopen jaren steeds complexer geworden. Een grote veroorzaker van die complexiteit is natuurlijk de economische crisis, maar ook ontwikkelingen op maatschappelijk gebied, zoals de drie decentralisaties, hebben hun weerslag. Er is een enorme verantwoordelijkheid met bijbehorende financiële middelen richting de gemeenten gekomen. Een ontwikkeling die gepaard gaat met veel onzekerheden.
Voor het omgaan met onzekerheden is in 2007 binnen de gemeente Deventer de beleidsnota Risicomanagement en Weerstandsvermogen vastgesteld. Nu, zeven jaar later, is deze nota aan herziening toe. Voor u ligt dan ook de Beleidsnota risicomanagement en weerstandsvermogen – 2014 die de oude beleidsnota uit 2007 vervangt.
De nota biedt een kaderstellende beleidslijn voor het integraal sturen op en beheersen van risico’s. Dit houdt onder andere in dat op gestructureerde wijze risico’s worden geïdentificeerd, geanalyseerd en beheerst en dat op basis van die resultaten de optimale omvang van het weerstandsvermogen wordt bepaald. Daarnaast biedt de beleidsnota inzicht in de mate waarin de raad zijn kaderstellende en controlerende taak goed kan uitoefenen.
In de afgelopen jaren zijn in de gemeente Deventer flinke stappen gezet op het gebied van risicomanagement. Na vaststelling van de eerste beleidsnota Risicomanagement en Weerstandsvermogen in 2007 werd in 2010 het Risico Informatie Systeem (RIS) geïntroduceerd. Mijlpalen die risicomanagement een plek in het sturingsinstrumentarium van Deventer hebben gegeven. Maar de ontwikkelingen staan niet stil. Zowel externe (o.a. de economische crisis en de drie decentralisaties) als interne factoren (o.a. het onderzoeksrapport van de rekenkamer naar risico’s bij de grondexploitatie en ervaringen in de afgelopen jaren) dwingen tot heroverweging van het bestaande beleid. Deze constateringen hebben geleid tot deze herziening van de beleidsnota.
Deze geactualiseerde beleidsnota ‘Risicomanagement en Weerstandsvermogen - 2014’ biedt een integraal kader dat als leidraad dient voor risicomanagement binnen de gemeente Deventer.
In 2007 is de eerste beleidsnota ‘Risicomanagement en weerstandsvermogen’ vastgesteld. Volgens de financiële verordening ex artikel 212 Gemeentewet worden beleidsnota’s in Deventer geactualiseerd indien daar concrete aanleiding voor is. Dit is de eerste actualisatie.
De doelstelling van deze actualisatie is om het beleid bij te stellen op basis van de volgende punten:
De beleidsnota is op de volgende punten gewijzigd ten opzichte van de nota uit 2007:
Wat biedt de beleidsnota niet?
De beleidsnota geeft kaders, uitgangspunten en richtlijnen voor het uitvoeren van risicomanagement binnen de gemeente Deventer. Wat niet in de nota is opgenomen is de implementatie, uitvoering en borging van deze activiteiten. De nota biedt eveneens geen concrete richtlijnen of kaders voor risicomanagement in het fysieke domein en sociale domein. Onderscheid in aanpak is er ook niet. Het risicomanagementproces als beschreven in hoofdstuk 5 (en bijlage 3) is voor alle domeinen van toepassing.
Na vaststelling van de beleidsnota is voorzien in een specifiek uitgebreid voorlichtingstraject in de organisatie om risico-management levend te maken.
Hieronder worden de specifieke Deventer beleidskeuzes puntsgewijs samengevat:
Het college is gehouden om relevante informatie over de ontwikkeling van risico’s en de risicopositie tijdig en ongevraagd onder de aandacht van de raad te brengen (actieve informatieplicht). Buiten de reguliere cyclus is dit verplicht voor nieuwe risico’s met een risicoscore van 15 of hoger (potentiële impact > € 5 ton).
In 2007 is de ‘Beleidnota risicomanagement en weerstandsvermogen’ opgesteld en door de raad geaccordeerd. Gemeente Deventer onderkende op dat moment het belang van de ontwikkelingen op het gebied van risicomanagement en nam met de nota het initiatief om invulling te geven aan het beleid. Nu, zeven jaar later en veel ervaringen rijker is de nota aan herziening toe. In de tussentijd hebben de ontwikkelingen op het gebied van risicomanagement voor de decentrale overheid niet stilgestaan. We bevinden ons in de afgelopen jaren in een geheel andere economische en maatschappelijke conjunctuur. De economische crisis is daarvan natuurlijk de meest herkenbare maar ook de ontwikkelingen die in gang zijn gezet op maatschappelijk gebied, zoals de drie decentralisaties hebben hun weerslag op risicomanagement. Er is namelijk een enorme verantwoordelijkheid met bijbehorende financiële middelen richting de gemeente gekomen. Een ontwikkeling die gepaard gaat met veel onzekerheden.
Daarnaast zijn er in het Besluit Begroting en Verantwoording provincies en gemeenten (BBV) enkele wijzigingen doorgevoerd die van invloed zijn op het beleid. Tenslotte is in 2013 door de Rekenkamercommissie onderzoek gedaan naar de wijze waarop Deventer haar systeem van risicomanagement op het gebied van de grondexploitatie vormgeeft. De aanbevelingen die daaruit naar voren zijn gekomen, hebben eveneens grondslag gevormd voor deze actualisatie.
Vanuit de zorg voor een structureel goed, veilig, efficiënt en milieubewust leef-, werk-, woon- en verblijfmilieu voor de burger, investeert Deventer jaarlijks veel geld in zowel ruimtelijk fysieke projecten als activiteiten op het gebied van maatschappelijk welzijn.
Het realiseren van betreffende voorzieningen en de zorg voor een structureel voortbestaan leggen beslag op schaarse middelen en gaan niet zelden gepaard met het nemen van risico’s.
Het is niet eenvoudig om in de ontwikkelingen van bedrijfsvoering en control een systeem van sturen via beheersen naar verantwoorden in te richten. De omgeving waarin Deventer functioneert, is in beweging en het is daarin onvermijdelijk dat doelstellingen, uitgangspunten en risico’s continue wijzigen. In deze dynamische omgeving heeft Deventer te maken met onverwachte gebeurtenissen die consequenties hebben op het realiseren van de doelstellingen. Het is wenselijk en zelfs noodzakelijk een systeem te hebben dat deze onzekere gebeurtenissen tijdig in beeld brengt zodat maatregelen genomen kunnen worden om negatieve effecten te minimaliseren of zelfs te voorkomen.
Dat is nu precies waar het bij risicomanagement om draait. Het inventariseert vooraf systematisch gebeurtenissen die het behalen van de doelstellingen in gevaar kunnen brengen en biedt vervolgens maatregelen om de gebeurtenis te voorkomen of het gevolg ervan te beperken.
De relatie tussen deze verschillende punten is als volgt;
Het optreden van bepaalde gebeurtenissen kan voor een hoop problemen zorgen. Niet alleen financieel maar ook materieel of emotioneel. Denk bijvoorbeeld aan beschadiging of verlies van materieel, maar ook aan aantasting van het vertrouwen van de burger in de gemeente door bijvoorbeeld negatieve publiciteit. Activiteiten gericht op doelrealisatie kunnen flink averij oplopen.
De onzekerheid of een gebeurtenis wel of niet optreedt en vervolgens een negatief gevolg heeft voor het realiseren van de doelstelling wordt een risico genoemd. Binnen de gemeente Deventer hebben we met verschillende risico’s te maken.
Onderstaand figuur geeft een beeld van de risico’s die van invloed zijn op de doelstellingen die we willen realiseren:
Risico’s beschouwen we in dit document niet als iets negatiefs, dat zoveel mogelijk moet worden vermeden. Beleid maken en uitvoeren is nu eenmaal risico nemen. Dat betekent dat van te voren goed moet worden nagedacht over de gevolgen, zodat een afgewogen besluit kan worden genomen. Risicomanagement heeft dan ook een politieke kant: de mate waarin risico’s worden genomen is een politiek bestuurlijke afweging.
Deventer wil risicomanagement breed toepassen. De afgelopen jaren zijn daar flinke stappen in gezet maar Deventer wil verder. Om dit te kunnen doen moeten de doelstellingen en de kaders waarbinnen risicomanagement zich afspeelt duidelijk zijn. In deze nota zijn deze kaders neergezet. Twee kernbegrippen zijn daarbij van belang en lichten we hieronder toe.
Een gebeurtenis kan ook een positief effect hebben op het realiseren van de doelstelling. Risicomanagement is in eerste instantie niet bedoeld voor het inventariseren van deze positieve effecten (kansen). In deze beleidsnota wordt primair uitgegaan van de negatieve effecten (risico’s) van gebeurtenissen. Gerelateerde kansen mogen onder beperkende omstandigheden worden verrekend met de bijbehorende risico’s. Het salderen van risico’s met een positief en een negatief gevolg binnen een specifieke activiteit, project of product levert geen onverantwoord of onvoorzichtig risicoperspectief op. Er is met name sprake van een meer gedifferentieerd risicoprofiel waarbij gerelateerde positieve ontwikkelingen (kansen) worden meegenomen in de beheersing van de activiteit. De handelswijze wordt door de accountant beoordeeld als aanvaardbaar en consistent.
In bijlage 2 is het beleidskader opgenomen dat van toepassing is op het verrekenen van kansen met risico’s.
De beleidsnota is tot stand gekomen door het raadplegen van verschillende bronnen. Zo zijn tijdens diverse risicomanagement bijeenkomsten informatie, kennis en ervaring uitgewisseld met andere gemeenten en het Nederlands Adviesbureau voor Risicomanagement (NAR). Daarnaast is uitgegaan van de actuele ontwikkeling vanuit het Besluit Begroting en Verantwoording provincies en gemeenten (BBV). Vervolgens zijn verschillende brondocumenten geraadpleegd waaronder beleidsnota’s van andere gemeenten, diverse publicaties (o.a. Deloitte) in vakliteratuur en is uitgegaan van de aanbevelingen uit het rapport van de Rekenkamercommissie ´Risico´s beheerst´ (2013). Een andere belangrijke bron van informatie is de ervaring die de afgelopen jaren is opgedaan met risicomanagement. Deze informatie bestaat o.a. uit vragen en antwoorden over risicomanagementrapportages (o.a. diverse weerstandsparagrafen) en gesprekken die zijn gevoerd met gebruikers, managers en college- en raadsleden. Uit al deze bronnen is voor Deventer dit passend beleid opgesteld.
Deze nota biedt een leidraad voor het omgaan met risico’s die mogelijk een negatief effect hebben op het behalen van de doelstellingen. Dit gebeurt in verschillende stappen.
In hoofdstuk 2 wordt uitgelegd wat risicomanagement is en wat de doelstellingen van Deventer zijn met risicomanagement. In hoofdstuk 3 volgt aansluitend inzicht in de verschillende rollen en verantwoordelijkheden ten aanzien van risicomanagement. In hoofdstuk 4 wordt de visie op de toegevoegde waarde van risicomanagement in Deventer gepresenteerd. Hoofdstuk 5 behandelt de methode die Deventer hanteert voor het risicomanagementproces. Daarin wordt aandacht besteed aan de cyclus van de zes processtappen. Bijlage 3 gaat op instructieve wijze in op deze processtappen. Het bepalen van de omvang van het weerstandsvermogen wordt in hoofdstuk 6 nader toegelicht. Tot slot wordt in hoofdstuk 7 kort ingegaan op het risico informatiesysteem (RIS) dat binnen Deventer wordt gebruikt.
2.1 Wat verstaan we onder risicomanagement?
Soms worden behoorlijk voor de hand liggende gebeurtenissen of situaties over het hoofd gezien waardoor het doel niet wordt bereikt. Wat van dit soort situaties kan worden geleerd is dat het heel zinvol is om van te voren na te denken over wat er binnen een project of organisatie allemaal kan gebeuren. Dat geeft de mogelijkheid om passende maatregelen te treffen en ellende te voorkomen. Dat is eigenlijk waar het bij risicomanagement om draait: het vooraf inventariseren van gebeurtenissen die het behalen van de doelstellingen in gevaar kunnen brengen en het toepassen van maatregelen om risico’s te beheersen.
In ons dagelijks werk wordt op een bepaalde manier al bewust met risico’s omgegaan. Voor bepaalde onverwachte gebeurtenissen wordt een verzekering afgesloten of om negatieve reacties van de burger te voorkomen wordt bijvoorbeeld tijdig gecommuniceerd (denk daarbij aan straatopbrekingen, bouwactiviteiten maar ook aan noodzakelijke bezuinigingen met een groot maatschappelijk effect).
Maar bij grotere en complexere opgaven, zeker als er veel partijen bij betrokken zijn, is het van belang om risicomanagement in te zetten.
Voor een succesvolle toepassing van risicomanagement is het belangrijk om de juiste uitgangspunten vast te stellen. Uitgangspunten zijn namelijk bepalend voor de cultuur en houding ten aanzien van risicomanagement. Het zorgt niet alleen voor de gewenste houding bij invoering maar er kan ook op worden teruggevallen bij onduidelijkheden of weerstand in de loop der tijd. De volgende uitgangspunten liggen binnen Deventer ten grondslag aan het toepassen van risicomanagement:
Het is het belangrijk deze uitgangspunten bij risicomanagement voor ogen te houden.
Het risicomanagementbeleid is de basis voor het verankeren van risicomanagement op alle niveaus in de organisatie en vormt het kader waarbinnen risicomanagement wordt uitgevoerd. Het beleid is gebaseerd op de uitgangspunten en de doelstellingen van risicomanagement en wordt gemonitord door middel van rapportages en gespreksvoering in de planning en controlcyclus en thematische onderzoeken. Periodiek wordt het beleid herzien door het college en ter goedkeuring voorgelegd aan de raad.
Het risicomanagementproces is een continu proces van het in beeld krijgen van de context, het identificeren en in beeld brengen van de risico’s, het classificeren en kwantificeren van risico’s, het bepalen en implementeren van de beheersmaatregelen, het toetsen van de beheersmaatregelen en vervolgens het evalueren van de effecten en het rapporteren.
Dit zes stappen proces kan als volgt worden weergegeven;
Dit betreft een cyclisch proces dat door ieder organisatieonderdeel wordt doorlopen. In hoofdstuk 5 wordt ingegaan op de verschillende processtappen.
Het toepassen van risicomanagement is een groeiproces. Risicomanagement vergt een ontwikkeling en bewustwording en een aantal investeringen binnen de organisatie. De implementatie van en groei in risicomanagement starten bij het strategisch beleid. De top van de organisatie moet zich bewust zijn van het belang van risicomanagement en moet dit ook uitdragen. Bij de implementatie is een bepaalde ‘top down’ druk nodig om het belang van risicomanagement bij de rest van de organisatie te bevestigen. Uiteindelijk zijn het de medewerkers die risicomanagement moeten dragen en ernaar moeten handelen.
Een belangrijke voorwaarde voor een geslaagd risicomanagementproces is dat de doelen van de projecten, programma’s, processen, teams of activiteiten SMART zijn geformuleerd.
3. Taken en verantwoordelijkheden
Iedereen in de organisatie heeft te maken met risicomanagement. Onlosmakelijk verbonden met risicomanagement is Governance. We hebben het dan over het borgen van de onderlinge samenhang van de wijze van sturen, beheersen en toezichthouden van de organisatie. Zowel Governance als risicomanagement hebben als doelstelling een organisatie meer gecontroleerd te sturen. Voor de rollen en verantwoordelijkheden voor het risicomanagement binnen de gemeente Deventer is uitgegaan van Governance (sturen, beheersen, toezicht houden en verantwoorden). Hieronder zijn de rollen en verantwoordelijkheden samengevat in een tabel.
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
4. Visie op toegevoegde waarde risicomanagement
Er bestaan diverse modellen en theorieën op het gebied van risicomanagement. Denk bijvoorbeeld aan NEN-ISO 31000, RISMAN, INK model en COSO. Modellen blijven een vereenvoudiging van de werkelijkheid. De praktijk laat zich er niet in vangen. Dit geldt ook voor de praktijk in Deventer.
Het Deventermodel heeft overeenkomsten met een combinatie van het COSO model, het Enterprise Risk Management (ERM) model en het RISMAN model. Op welke vlakken die overeenkomsten zijn en waar vooral de groei voor Deventer geldt wordt hieronder kort toegelicht.
De gemeente Deventer kiest ervoor om de risico’s vanuit de organisatie (progamma’s, producten en lijnactiviteiten) naar boven te laten komen (bottom-up benadering). De risico’s worden gesignaleerd en geïdentificeerd door degenen die daar in het dagelijks werk tegenaan lopen. Met behulp van deze inzichten worden de risico’s door de directie vastgesteld en vormen vervolgens de basis voor de gemeentebrede risico’s (inrichten). Een volgende stap zou zijn om op strategisch niveau richting te geven aan de risico’s. Deze fase is in Deventer nog in ontwikkeling.
De overeenkomst tussen het COSO ERM model en het Deventer model is dat het in beide modellen gaat om ‘de organisatie een redelijke zekerheid te bieden ten aanzien van het behalen van de doelstellingen’. Deventer onderkent strategische, tactische en operationele doelen. Deze doelstellingen vormen het uitgangspunt van het (risicomanagement)beleid en daarover wordt periodiek gerapporteerd via de P&C cyclus documenten. Daarnaast kennen beide modellen ongeveer dezelfde risicocomponenten (6 stappen model van Deventer) die in samenhang via een cyclus worden uitgevoerd. In aanvulling op de zes stappen die Deventer uitvoert (zie paragraaf 2.5) kent COSO/ERM nog de twee extra stappen ‘Bewaking’ en ‘Reactie op risico’s’.
De RISMAN methode is een gebruikelijke methode om een integrale risicoanalyse op grote (infrastructuur) projecten uit te voeren. De methode kent, net als het Deventer model, de verschillende stappen in het risicomanagementproces van identificeren/analyseren via het kiezen en uitvoeren van beheersmaatregelen tot evalueren en actualiseren. Dit alles in een cyclisch proces.
De RISMAN methode beoordeelt een project vanuit 7 invalshoeken de zogenaamde ‘RISMAN brillen’.
Bekende invalshoeken die ook het Deventer model hanteert (zie figuur paragraaf 1.2 en paragraaf 5.2 Identificeren/classificeren).
Door toepassing van het 6 stappen risicomanagementmodel van de gemeente Deventer wordt een focus aangebracht in het bereiken van de gestelde doelen. Wanneer het proces zoals omschreven in hoofdstuk 5 wordt doorlopen en daar bestuurlijk op wordt gestuurd, draagt het model bij aan het bereiken van de doelstellingen.
De positionering en verankering van het Deventer model biedt het management voldoende handvatten om risicomanagement vorm te geven.
Voor de middellange en lange termijn is het van belang dat Deventer blijft door ontwikkelen. Vragen die daarvoor een antwoord vergen zijn:
Wat is de Deventer ambitie ten aanzien van de gewenste mate van door ontwikkeling in RM? Risicomanagement is niet alleen een cyclisch proces van de zes stappen van context tot rapporteren en evalueren. Het is meer dan dat. Denk daarbij aan cultuur, communicatie, managementstijl en dergelijke. De samenhang en ordening van deze factoren vormen samen het succes van risicomanagement.
Uit een uitgebreid onderzoek naar risicomanagement modellen en verschillen tussen private en publieke organisaties is gebleken dat een aantal (succes)factoren van invloed zijn op het welslagen van risicomanagement.
Deze factoren hebben invloed op de mate van door ontwikkeling van het risicomanagementmodel. Om in Deventer een bepaalde gewenste mate van volgroeidheid te bereiken is het van belang om in deze succesfactoren te groeien. In onderstaande tabel worden deze succesfactoren in het kort beschreven.
Een bepaalde mate van volgroeidheid in RM is te bereiken door je als organisatie telkens af te vragen (evaluatiefase) wat ook alweer de reden is voor risicomanagement en vervolgens de effecten te benoemen en te beoordelen. Dergelijk onderzoek naar effectiviteit van risicomanagement komt nog weinig voor.
Effectmeting is mogelijk door bijvoorbeeld eenvoudige schattingen te maken van het verloop van de Total Cost of Risk (TCOR) in de tijd. Concreet betekent dit dat jaarlijks een schatting wordt gemaakt van de kosten van het risicomanagementproces, de beheersmaatregelen en de kosten van onlangs opgetreden risico’s. Betrek hierbij ook de niet-financiële effecten van risicomanagement zoals publiekstevredenheid en veiligheid (bijvoorbeeld uitkomsten van de omgevingsmonitor programma Leefomgeving) en rapporteer hierover aan de raad en de burger.
Durf samen met betrokkenen gefundeerde schattingen te maken, trends in effectiviteit van risicomanagement op te merken en daar vervolgens naar te handelen. Op die wijze kan risicomanagement nog beter haar meerwaarde bewijzen voor het effectiever en efficiënter behalen van onze (publieke) doelstellingen.
Een activiteit en daarmee risicomanagement stopt niet bij de grenzen van de gemeente Deventer. De visie voor risicomanagement moet aansluiten bij de regionale ambities van Deventer. Breng in de verschillende (regionale) samenwerkingsverbanden het beleid omtrent risicomanagement van Deventer al vroegtijdig onder de aandacht van de participanten. Hoe gaan we om met lokale risico’s in relatie tot de regionale (samenwerkings-) risico’s. Dit biedt duidelijkheid over waar je staat en wat je eventueel kan verwachten op het gebied van risico’s. Het risicomanagementbeleid van Deventer zal daar in de komende jaren in gaan doorontwikkelen. Denk bijvoorbeeld aan de samenwerking op het gebied van de 3D’s, verbonden partijen, gesubsidieerde instellingen maar ook in DOWR verband.
Stuk voor stuk uitdagingen om aan te grijpen en van te leren.
Een goed functionerend risicomanagementsysteem is gebaseerd op uitgangspunten en doelstellingen die door de organisatie (risico eigenaren) worden onderkend en in het beleid zijn geformuleerd. Dit vormt gelijk het referentiekader bij het continu doorlopen van het risicomanagementproces.
Vanuit het vakgebied begint risicomanagement met het formuleren van uitgangspunten en doelstellingen. Vervolgens wordt een cyclisch proces doorlopen dat start met het benoemen van de context en vervolgens via identificatie en classificatie/kwantificatie van risico’s leidt tot het formuleren en implementeren van beheersmaatregelen. Na rapportage en evaluatie start dit proces opnieuw.
Hiervoor is een redelijk algemeen risicomanagementproces voorhanden dat is gebaseerd op 5 of 6 verschillende stappen. Zoals in hoofdstuk 1 aangegeven kent Deventer een risicomanagementproces van 6 stappen.
Hieronder lichten we de verschillende stappen beknopt toe. Een uitgebreide instructie voor uitvoering van deze 6 stappen is opgenomen in bijlage 3.
Waarover gaat het en wat willen we bereiken?
Risicomanagement is geen doel op zich maar een middel. Het is daarom belangrijk om na te gaan wat ermee moet worden bereikt. In deze stap wordt gekeken naar intern en externe aspecten die van belang zijn voor de risico analyse. Het gaat om vragen als: Wat is het doel? Waar sta je nu? Waardoor wordt je verrast? Zijn er zaken die het bereiken van het doel negatief beïnvloeden? Heb je het gevoel in control te zijn en overzie je de zaken? Wat gaat er mis zonder risicomanagement?
Met behulp van deze informatie wordt de doelstelling van de risicoanalyse vastgesteld of wordt besloten geen analyse uit te voeren.
Deze stap leidt tot een onderbouwd antwoord op de vraag: Wat gaan we doen en wie is waarvoor verantwoordelijk?
5.2 Identificeren en classificeren
In deze stap wordt geprobeerd om een beeld te krijgen van gebeurtenissen die het behalen van de doelstellingen kunnen belemmeren of vertragen.
Om een zo breed mogelijk beeld te krijgen van de risico’s wordt vanuit meerdere invalshoeken gekeken naar het te bereiken doel. De invalshoeken voor Deventer zijn o.a.:
Het gaat er dus om of alles in beeld komt en of dit beeld actueel is.
Deze stap leidt tot een onderbouwd antwoord op de vraag: Zijn de risico’s in beeld en is het actueel?
5.3 Classificeren en kwantificeren
Wat zijn de belangrijkste risico’s?
Na het in beeld brengen van de risico’s worden deze toegewezen aan risico eigenaren. Deze personen zijn operationeel verantwoordelijk voor het risico. Zij analyseren en beoordelen de risico’s in termen van kansen (waarschijnlijkheid) en verwachte omvang van het gevolg (impact).
Deze risicoweging is in Deventer gebaseerd op basis van indeling in risicoklassen.
In deze fase worden de geïdentificeerde risico’s stuk voor stuk geanalyseerd en beoordeeld. Voor elk risico wordt de kans van optreden (waarschijnlijkheid) en de mogelijke omvang van het gevolg (impact) bepaald. Door de risico’s op deze wijze te classificeren wordt ordening aangebracht waarmee wordt bepaald welke risico’s de belangrijkste zijn en waarop de beheersingsmaatregelen moeten worden geconcentreerd. Hiermee ontstaat inzicht in de mate van risicogevoeligheid die wordt aangeduid met een zogenaamde risicoscore.
In deze fase wordt antwoord gekregen op de volgende twee onderzoeksvragen:
Voor het beantwoorden van deze twee vragen hanteert Deventer de volgende risicoklassen
Classificering van het gevolg (impact)
Als een risico optreedt, kan dit op meerdere terreinen gevolgen hebben. Denk daarbij aan;
In deze fase van het proces wordt van ieder risico bepaald wat het gevolg is als het risico optreed. Hieronder volgt een leidraad voor classificering van de gevolgen op bovenvermelde terreinen;
Voor het bepalen van risicoscore (zie hieronder) is het van belang dat na het invullen van de verschillende gevolgen wordt uitgegaan van het criterium met de hoogste score. De uitkomst daarvan zal worden meegenomen op de risicokaart.
Wanneer bij het optreden van een bepaald risico een politiek gevolg van 3 (redelijk) wordt verwacht met een financieel gevolg van € 2,5 miljoen (score 4 - Aanzienlijk) dan moet worden uitgegaan van de hoogste score en dat is in dit geval dus 4 – Aanzienlijk.
Classificering van de kans (waarschijnlijkheid)
Voor het bepalen van de kans van optreden hanteert Deventer de volgende classificering;
Kans (waarschijnlijkheid) van optreden
In bovenstaande twee tabellen zijn voor de indeling expliciet de scores 1 t/m 5 gehanteerd. Deze scores zijn namelijk de basis voor het indelen van de scorekaart (zie hieronder).
Wanneer voor ieder risico een score op beide onderzoeksvragen is bepaald, wordt daarmee de risicoscore bepaald.
Een risico met een aanzienlijk maatschappelijk gevolg (verontwaardiging in grote groepen en regionale pers – score 4) en een kans van optreden van 50% (reële kans – score 3) geeft een risicoscore van 12 (= 4 x 3).
Zo krijgt een risico met een financieel gevolg van € 1.750.000 (klasse 4) en een kans van optreden van 20% (klasse 2) een risicoscore van 8 (= 4 x 2).
Wanneer vervolgens de scores per risico in een risicokaart (matrix) worden geplaatst ontstaat er inzicht in de mate van risico gevoeligheid.
Bij het intekenen van een risicoscore geldt dat hoe hoger de risicoscore;
Deze risicokaart wordt direct gebruikt als hulpmiddel om te bepalen aan wie welk risico wordt gemeld. Primair is het college verantwoordelijk voor alle risico’s en de raad is eindverantwoordelijk. Daarom is het belangrijk om afspraken te maken over het melden van risico’s. We hanteren het principe dat hoe hoger de risicoscore, hoe hoger het niveau in de organisatie waar het risico bekend moet zijn. Risico’s met een risicoscore van 12 en hoger worden altijd gerapporteerd aan de raad via de paragraaf weerstandsvermogen en risicobeheersing van de P&C cyclische rapportages. Risico’s met een risicoscore kleiner dan 12 worden niet gerapporteerd via de paragraaf weerstandsvermogen en risicobeheersing van de P&C cyclische rapportages. Het betreffen uiteraard wel risico’s waarop risicobeheersing wordt toegepast en integraal worden meegenomen bij het bepalen van de benodigde weerstandscapaciteit.
Wanneer zich buiten de cyclus om substantiële ontwikkelingen voordoen dan geldt een actieve informatieplicht.
Deze stap leidt tot een onderbouwd antwoord op de vraag: Welke risico’s moet als eerste worden aangepakt?
Op basis van de classificatie worden risico’s ingedeeld naar kans en gevolg en kan uit de weergave snel worden bepaald welke risico’s prioriteit vereisen. Dit geeft nog geen indicatie voor het aanhouden van weerstandsvermogen. Hiervoor is kwantificering vereist. Dit wordt verkregen door enkel de risico’s met een financieel gevolg te beoordelen. Voor het beoordelen van het weerstandsvermogen en het opstellen van de paragraaf weerstandsvermogen (zie verder hoofdstuk 6) gaat Deventer uit van onderstaande financiële classificering en impactanalyse;
5.4 Beheersmaatregelen bepalen
Hoe kunnen we de risico’s beheersen?
Nu de risico’s in kaart zijn gebracht en de mate van focus is aangebracht moet worden nagedacht over de manier waarop de toprisico’s zo goed mogelijk worden beheerst. Het is goed te realiseren dat het doel niet is; ‘koste wat het kost’ risico’s vermijden. In deze stap vindt de overweging plaats wat met het risico gaat gebeuren.
Er zijn vier vormen van omgang met risico’s;
De manier waarop met risico’s wordt omgegaan, wordt mede bepaald door de omgeving van de opdracht, het project, de afdeling of de organisatie. De context en de uitgangspunten die eerder zijn gesteld zijn hier van belang. Oftewel wat is de ‘risk appetite’. Deze bepalen namelijk hoeveel risico je kan, mag en wilt lopen.
Als een beheersmaatregel wordt genomen moet deze wel effectief en proportioneel zijn. Soms is het goedkoper het risico te nemen.
Het uitvoeren van het beheersmaatregelonderzoek levert een set aan beheersmaatregelen op. Wanneer de beheersmaatregelen met een positief financieel effect op het financiële gevolg van een risico in mindering wordt gebracht resulteert de ‘netto verwachte omvang’.
Deventer maakt daarmee onderscheid tussen de bruto verwachte omvang en netto verwachte omvang van een risico;
Deze netto verwachte omgang vormt, in combinatie met de verwachte kans, uitgangspunt bij het bepalen van de totale omvang aan risico’s en het benodigde weerstandsvermogen (zie hoofdstuk 6).
Een regelmatig voorkomende situatie van een vermindering door het treffen van een beheersmaatregel is, dat binnen een infrastructureel project een risicovoorziening (stelpost) wordt gevormd voor onvoorziene uitgaven dan wel risico’s. Ook komt het voor dat bepaalde risico’s worden verzekerd waarmee het totale risico van het betreffende project afneemt.
Deze stap leidt tot een onderbouwd antwoord op de vraag: Welke beheersmaatregelen worden toegepast?
Weerstandsvermogen aanhouden of niet?
Een vraag die bij deze stap eveneens moet worden gesteld is of voor de netto verwachte omvang (restrisico) weerstandsvermogen moet worden aangehouden. Hieronder staan de criteria die van belang zijn bij het bepalen of weerstandsvermogen moet worden aangehouden.
Criteria voor aanhouden weerstandsvermogen
De kans en het financiële gevolg zijn voldoende onderbouwd. Dit betekent dat aan zowel de kans als het financiële gevolg een betrouwbaar onderbouwing (oordeel) ten grondslag ligt. Dit kan bijvoorbeeld zijn gebaseerd op onderliggende calculaties of aanwijsbare ervaringen uit eerder voorgevallen situaties.
Bij risico’s die niet binnen 1 jaar zullen optreden (dus risico’s > 1 jaar) moeten eerst worden beoordeeld of er extra beheersmaatregelen mogelijk zijn ter reductie. Vervolgens moet worden gekeken, voor het opvangen van het financieel gevolg, naar herprioritering van het huidig budget of eventueel een verzoek voor extra middelen in de eerstvolgende bestuursrapportage.
In deze beleidsnota wordt hier verder niet op ingegaan. Naast het herijken van de beleidsnota uit 2007 wordt onderzoek gedaan naar het ‘weerstandsvermogen: meer dan een rekenkundige oefening’. Bij dit onderzoek zal onder andere worden gekeken naar de bepaling van het weerstandsvermogen en risicoweging.
5.5 Beheersmaatregelen toepassen en toetsen
Hoe worden de beheersmaatregelen toegepast?
Voor de belangrijkste risico’s zijn nu de verschillende alternatieven afgewogen (balancing the risks). Risico’s die niet zijn overgedragen, geaccepteerd of met de juiste beheersmaatregelen zijn vermeden moeten zelf worden beheerst. Hiervoor zijn bij de vorige stap beheersmaatregelen bedacht. Bij deze stap komt het aan op beantwoording van de volgende vragen;
Het resultaat van deze stap is een duidelijk overzicht van de verdeling van de risico’s over verschillende programma’s en verantwoordelijken. Vervolgens ontstaat een beeld van de beheersmaatregelen die zijn toegepast met de bijbehorende positieve en/of negatieve effecten. Wanneer deze maatregelen en uitkomsten bijvoorbeeld in een database worden bijgehouden kan dit integraal ter beschikking worden gesteld en door andere risico-eigenaren worden geraadpleegd. Dit levert inzicht op in beheersmaatregelen die wel effectief zijn (in een bepaalde situatie) en welke niet.
Deze stap leidt tot een onderbouwd antwoord op de vraag: Hoe worden de beheersmaatregelen toegepast?
Het college is gehouden om relevante informatie over de ontwikkeling van risico’s en de risicopositie tijdig en ongevraagd onder de aandacht van de raad te brengen.
Betreffende informatie geeft in ieder geval antwoord op de volgende vragen;
Bij de rapportage over de risico’s is sprake van gelaagdheid. Op niveau van de dagelijkse aansturing is het logisch dat er meer inzicht is in de individuele risico’s en het effect van de maatregelen. De gelaagdheid in rapporteren is in paragraaf 5.3 vormgegeven op basis van de risicoscore. Risico’s met een score van 12 of hoger worden periodiek, via de paragraaf weerstandsvermogen en risicobeheersing van de P&C cyclische rapportages, gemeld aan de raad. In de zomerrapportage en de najaarsrapportage wordt gerapporteerd over de stand van zaken met betrekking tot de risico’s.
Risico’s worden in de rapportage niet geclusterd. Dit betekent dat elk risico met een score van 12 of hoger wordt gerapporteerd. Dit levert inzicht in de opbouw van het totale actuele risico en bevordert de transparantie en controleerbaarheid.
De gemeente Deventer kent een actieve informatieplicht. Buiten de reguliere cyclus is er een meldingsplicht aan de raad voor nieuwe risico’s met een risicoscore van 15 of hoger (potentiële financiële impact > € 500.000).
Het resultaat van deze stap is een periodieke risicorapportage waarin in ieder geval antwoord wordt gegeven op de hierboven vermelde vragen. Wettelijk is gesteld dat in ieder geval bij de begroting en jaarrekening een paragraaf weerstandsvermogen en risicobeheersing wordt opgesteld. Deventer heeft daar de voorjaarsnota aan toegevoegd.
Deventer hanteert naast de P&C cyclus rapportages geen aparte risicomanagementrapportage. Zij verantwoordt haar risicobeleid via de P&C cyclus rapportages aan de raad.
Een groot deel van het proces is nu afgerond. De risico’s zijn geïnventariseerd en geanalyseerd en er zijn beheersmaatregelen bepaald, uitgevoerd en getoetst. Het proces is daarmee nog niet klaar.
Risicomanagement is een cyclisch proces. Als uit de evaluatie blijkt dat het effect van de maatregel niet is wat het had moeten zijn, dan moet er worden bijgestuurd.
Het is belangrijk om op bepaalde momenten (minimaal 1 keer per jaar) terug te kijken om beter vooruit te kunnen kijken. Hierdoor wordt het risicobewustzijn binnen de organisatie verder aangescherpt.
Binnen de programma’s zal minimaal 1 keer per jaar een kwaliteitsanalyse moeten worden gemaakt en tijdens een bijeenkomst met de risico-eigenaren moeten worden besproken.
Een belangrijk onderdeel van risicomanagement is het weerstandsvermogen.
In dit hoofdstuk wordt de opbouw van het weerstandsvermogen gegeven en de elementen die daaraan zijn gekoppeld. Risicomanagement is gedefinieerd als het identificeren en kwantificeren van risico’s en het bepalen van activiteiten die de kans van optreden en/of de gevolgen van risico’s beheersbaar houdt. Deze activiteiten worden beheersmaatregelen genoemd. Een belangrijk onderdeel van de beheersmaatregelen wordt gevormd door het op niveau houden van de financiële positie door het opbouwen van weerstandsvermogen. Door risico’s in kaart te brengen en beheersmaatregelen te treffen kan de benodigde weerstandscapaciteit worden verlaagd.
Een beroep op het weerstandsvermogen moet worden gezien als de allerlaatste optie om de gevolgen van een optredend risico op te vangen.
Volgens artikel 11 van het BBV bestaat het weerstandsvermogen uit de relatie tussen ‘de weerstandscapaciteit, zijnde de middelen en mogelijkheden waarover de gemeente beschikt of kan beschikken om niet begrote kosten te dekken’ en ‘alle risico’s waarvoor geen maatregelen zijn getroffen en die van materiele betekenis kunnen zijn in relatie tot de financiële positie.’ Deze juridische formulering wordt hieronder vertaald naar relatie
Het woord ‘vermogen’ in de term weerstandsvermogen verwijst niet alleen naar geld. Het is een maatstaf voor de mate waarin Deventer in staat is om nadelige gevolgen van risico’s op te vangen.
Weerstandsvermogen: Is de mogelijkheid van de gemeente om financiële tegenvallers op te kunnen vangen zonder dat dit invloed heeft op het uitvoeren van de programma’s. |
Voldoende weerstandsvermogen kan voorkomen dat het optreden van een risico dwingt tot bezuinigingen. In hoeverre Deventer in staat is om risico´s op te vangen hangt af van:
Anders geformuleerd kan de verhouding tussen de middelen waarover Deventer kan beschikken om onverwachte, niet begrote financiële tegenvallers op te vangen als volgt worden gepresenteerd;
Deze twee soorten weerstandscapaciteit worden in paragraaf 6.2 en 6.3 verder toegelicht.
6.1 Inhoud paragraaf weerstandsvermogen
Conform artikel 9, lid 2 van het BBV moet de gemeente Deventer in de begroting en jaarrekening een paragraaf weerstandsvermogen en risicobeheersing opnemen. Artikel 11, lid 2 voegt daaraan toe dat de paragraaf weerstandsvermogen en risicobeheersing tenminste het volgende moet bevatten:
Naast de geïnventariseerde en gekwantificeerde risico’s loopt Deventer, onlangs realistische ramingen van investeringen en exploitatiebudgetten, risico’s als gevolg van economische vooruitzichten en bestuurlijke besluitvorming. Voorbeelden daarvan zijn de algemene uitkering (gemeentefonds), verkoop van gronden en panden, de verbonden partijen, de garantstellingen en de nog te implementeren lopende bezuinigingen en faseringsverschillen. Dit zijn onzekerheden die niet zijn te omvatten in een gedefinieerd en afgebakend risico maar voor de sturing van de organisatie wel van belang zijn. Ze kunnen per slot van rekening een onverwacht, niet voorzien gevolg hebben voor de financiële positie van de gemeente Deventer. In de paragraaf worden deze onderwerpen in ieder geval opgenomen en als context (aanvullend) aan het bestuur meegegeven, zodat bij de besluitvorming over het weerstandsvermogen daar rekening mee kan worden gehouden.
De raad wordt via de voorjaarsnota, (meerjaren)begroting en de jaarrekening op de hoogte gehouden van de financiële toprisico’s en de gevolgen daarvan voor het aanhouden van weerstandsvermogen (financiële positie). Wij presenteren dan een actueel overzicht van de financiële risico’s, inclusief risicoscore en risicokaart waarbij eveneens een beoordeling van de omvang van het weerstandsvermogen wordt gegeven (moment opname).
Risico’s met een score gelijk of groter dan 12 lichten we toe. Zie voor bepaling van deze risicoscore paragraaf 5.3. Deze risico’s worden in de paragraaf enkelvoudig gepresenteerd. Ook wordt aangegeven welke risico’s daadwerkelijk zijn opgetreden. Vervolgens wordt toegelicht wat de nieuwe risico’s zijn en wordt aangegeven welke risico’s niet meer van toepassing zijn. Tenslotte wordt in de conclusie van de paragraaf een advies gegeven over maatregelen om het weerstandsvermogen te verbeteren of af te bouwen (afromen). Dit uiteraard afgestemd op de uitkomst van de risicoscore in combinatie met de algemene, niet gekwantificeerde onzekerheden zoals hierboven omschreven.
6.2 Beschikbare weerstandscapaciteit
De beschikbare weerstandscapaciteit is in het BBV (artikel 11, lid 1) omschreven als ‘de middelen en mogelijkheden waarover de gemeente beschikt of kan beschikken om niet begrote kosten te dekken’. Deventer rekent de volgende componenten tot de beschikbare weerstandscapaciteit:
Hieronder volgt een korte toelichting per component.
Conform het BBV (artikel 43, lid 1) worden de reserves onderscheiden naar algemene reserves en bestemmingsreserves.
De algemene reserve heeft een algemeen karakter en is vrij aanwendbaar.
Bij de algemene reserves wordt binnen de gemeente Deventer het volgende onderscheid gemaakt;
Algemene reserve waarbij rente wordt toegevoegd aan exploitatie:
Bij deze reserve wordt de rente structureel toegevoegd aan de exploitatie (inkomensfunctie). Wanneer de reserve wordt ingezet ter dekking van een calamiteit vindt structurele inkomstenderving in de exploitatie plaats. Dit is strijdig met de functie van het weerstandsvermogen. Het financiële beleid wordt aangetast door betreffende inkomstenderving. De algemene (exploitatie) reserves worden daarom niet meegerekend bij het bepalen van de beschikbare weerstandscapaciteit.
Bij inzet van iedere reserve geldt altijd dat de gemeente inkomsten derft (wegvallend rendement).
Een bestemmingsreserve is door de raad ingesteld voor het realiseren van een bepaald doel en daardoor niet inzetbaar voor de beschikbare weerstandscapaciteit. Indien noodzakelijk kan de raad de bestemming van een bestemmingsreserve wijzigen en daarmee bijvoorbeeld tijdelijk het weerstandsvermogen. Het moet hier uitdrukkelijk gaan om een noodsituatie die tijdelijk van aard is. De reservepositie moet meerjarig (binnen de begrotingstermijn) worden hersteld.
De met voetnoot gemarkeerde bestemmingreserves zijn specifiek ingesteld voor het opvangen van risico’s binnen een bepaald product. Deze twee rekenen we tot de beschikbare weerstandscapaciteit.
Onbenutte begrotingscapaciteit
Theoretisch gesproken is er enkel sprake van begrotingsruimte wanneer de begroting een overschot vertoont (meer baten dan lasten). Begrotingsruimte kan ook aanwezig zijn bij een sluitende begroting. Er zijn altijd onderdelen aan te wijzen die beïnvloedbaar zijn.
Indien beïnvloeding van deze onderdelen leidt tot extra vrijval van middelen, zonder dat dit een substantiële wijziging in het beleid tot gevolg heeft, dan kan dit deel worden beschouwd als onderdeel van de weerstandscapaciteit (de zogenaamde flexibiliteit van de begroting).
Onbenutte investeringscapaciteit
Van onbenutte investeringscapaciteit is sprake wanneer uit de investeringsplanning een positief resultaat blijkt en er geen onderhoudsachterstand is. In de praktijk van de afgelopen jaren is gebleken dat Deventer over (veel) meer investeringsinitiatieven beschikt dan er financiële middelen voorhanden zijn. Daaruit wordt geconcludeerd dat er geen onbenutte investeringscapaciteit beschikbaar is.
Hierbij wordt de volgende kanttekening geplaatst. Bij de investeringsplanning is rekening gehouden met prioritering van projecten. Voor een aantal van die projecten zijn nog geen contracten afgesloten of toezeggingen aan derden gedaan. Dit geeft de mogelijkheid om de, aan deze investeringen toegeschreven dekkingsmiddelen, bij calamiteiten, in te zetten voor dekking van de gevolgen van risico’s (heroverweging investeringsplanning). Het is aan de raad om dit instrument in te zetten voor het creëren van weerstandscapaciteit.
Onbenutte belastingcapaciteit.
Het verschil tussen de fictieve (toegestane) opbrengsten bij maximale heffing- en belastingtarieven en de begrote opbrengsten (op basis van feitelijke belastingdruk) vormt de onbenutte belastingcapaciteit. Bij dreigende tekorten beschikt de raad over mogelijkheden om deze onbenutte belastingcapaciteit in te zetten door de belastingdruk te verhogen (zie norm Artikel 12 – Financiële verhoudingswet (Fvw))..
Stille reserves zijn de meerwaarden van bezittingen die tegen een lagere waarde op de balans worden gewaardeerd dan de opbrengstwaarde (economische- of marktwaarde). Hierbij moet worden gedacht aan de waarde van het onroerend goed (gebouwen en gronden) en aandelen (waardepapieren). Deze ‘overwaarde’ is enkel inzetbaar als weerstandscapaciteit wanneer het betreffende object binnen 1 jaar kan worden verkocht, zonder dat het bedrijfsproces hierdoor negatief wordt beïnvloed.
Stille reserves nemen we pas mee als onderdeel van de beschikbare weerstandscapaciteit als er door de raad expliciet een besluit is genomen om een stille reserve te incasseren. Deventer gaat voor de economische- of marktwaarde uit van de WOZ waarde van het betreffende gebouw. Concreet betekent dit dat de stille reserve van het gebouw het verschil is tussen de WOZ- en de boekwaarde.
Algemeen versus specifiek weerstandsvermogen
Deventer maakt onderscheid tussen specifiek en algemeen weerstandsvermogen. Het specifieke weerstandsvermogen is met name gebaseerd op de specifiek gekwantificeerde risico’s. Bekende voorbeelden zijn de risico’s met betrekking tot de grondexploitatie en bijstandsuitkeringen. Voor deze risico’s zijn specifieke (algemene) reserves ingesteld.
Daarnaast loopt Deventer, ondanks realistische ramingen van investeringen en exploitatiebudgetten, risico’s als gevolg van economische vooruitzichten en bestuurlijke besluitvorming. Voorbeelden daarvan zijn de algemene uitkering (gemeentefonds), verkoop van gronden en panden, de verbonden partijen, de garantstellingen en de nog te implementeren bezuinigingen en faseringsverschillen.
Ondanks dat deze reserves in benaming van elkaar verschillen en specifiek worden gevoed blijven de middelen alternatief aanwendbaar. Oftewel het betreffen allemaal algemene reserves die in hun totaliteit onderdeel vormen van de beschikbare weerstandscapaciteit.
Structureel versus incidenteel weerstandsvermogen
Deventer maakt onderscheid tussen structureel in te zetten weerstandsvermogen en incidenteel in te zetten weerstandsvermogen. Structureel weerstandsvermogen wordt gevormd door componenten die structureel tot de beschikbare weerstandscapaciteit behoren. Incidenteel weerstandsvermogen betreft de componenten in de balans of exploitatie die eenmalig kunnen worden gerekend tot de beschikbare weerstandscapaciteit.
6.3 Benodigde weerstandscapaciteit
Het totaal van de risico’s (met financiële gevolgen) die Deventer loopt, bepaalt de hoogte van de benodigde weerstandscapaciteit. Zoals in paragraaf 3.4 aangegeven gaat Deventer daarbij uit van netto verwachte omvang. Dit is het initiële (bruto) risico waarvan het effect van de beheersmaatregelen en eventuele compensatie van derden in mindering is gebracht.
Monte Carlo methode (simulatiemethode)
Wanneer alle individuele financiële risico’s bij elkaar worden opgeteld ontstaat een totaal van de risico’s en daarmee een bepaald gewenste omvang van het weerstandsvermogen. Dit beeld is nogal negatief. Het is namelijk vrijwel zeker dat niet alle risico’s zich tegelijkertijd zullen voordoen. Daarnaast zal niet ieder risico zich in maximale omvang voordoen. Om deze overschatting van de te lopen risico’s te voorkomen, maken we gebruik van de Monte Carlo simulatie methode. De Monte Carlo simulatie is een techniek waarbij een proces niet één keer maar vele malen wordt gesimuleerd, elke keer met andere startposities (willekeurig). Het resultaat van deze verzameling is een verdelingsfunctie die het hele gebied van mogelijke uitkomsten weergeeft.
Op basis van deze simulatietechniek berekenen we welk bedrag er nodig is om de geïdentificeerde risico’s in financiële zin af te dekken. Hierbij wordt rekening gehouden met zekerheidspercentages. Deze percentages geven aan hoe waarschijnlijk het is dat de financiële gevolgen van de werkelijk opgetreden risico’s boven de berekende waarde uitkomt. Zo loopt Deventer bij een zekerheidspercentage van 60%, 40% kans dat de werkelijke financiële gevolgen boven het berekende bedrag ligt. Bij een zekerheidspercentage van 90% is de kans op een hogere uitkomst nog maar 10%. Een voorbeeld dat is toegepast bij de voorjaarsnota 2014:
Uit de tabel blijkt dat het bedrag aan benodigde weerstandscapaciteit toeneemt naarmate het zekerheidspercentage hoger is.
Gemeente Deventer hanteert bij de berekening van de omvang van de benodigde weerstandscapaciteit een zekerheidspercentage van 90%. Dit percentage wordt geadviseerd door het Nederlands Adviesbureau voor Risicomanagement (NAR) en ook toegepast door onder andere de gemeenten Arnhem en Breda.
Deventer houdt naast de geïnventariseerde risico’s rekening een extra buffer voor financiële tegenvallers waar niemand rekening mee heeft gehouden. Deze zogenaamde minimumnorm biedt een soort veiligheidsmarge.
Voor het bepalen van de minimumnorm wordt de artikel 12 norm van de Financiële verhoudingswet (Fvw) gehanteerd (zie artikel 23, lid 1 – Fvw). Hierin wordt uitgegaan van 2% van de algemene uitkering uit het gemeentefonds aan de gemeente en 2% van de OZB capaciteit.
Per saldo wordt de omvang van de benodigde weerstandscapaciteit als volgt bepaald:
6.4 Beoordeling weerstandsvermogen
Het weerstandsvermogen bestaat uit de beschikbare weerstandscapaciteit gedeeld door de benodigde weerstandscapaciteit. Oftewel de ratio weerstandsvermogen.
De wetgever heeft voor het weerstandsvermogen geen absolute norm gesteld. Gemeenten moeten zelf een beleidslijn en normering bepalen.
Het is belangrijk om te weten of er sprake is van een toereikend weerstandsvermogen. Hebben we genoeg middelen om de gevolgen van risico’s op te kunnen vangen? Het antwoord is ja, wanneer de beschikbare capaciteit gelijk of groter is dan de benodigde weerstandscapaciteit. Oftewel de ratio weerstandsvermogen is gelijk of groter dan één:
Voor de beoordeling van de uitkomst van het weerstandsvermogen hanteert Deventer de volgende tabel:
Deze beoordelingstabel biedt het college en de raad snel inzicht in de kwalificering van de ratio weerstandsvermogen
Iedere categorie vergt een andere manier van handelen. Voor de categorieën D, E en F geldt dat de beschikbare weerstandscapaciteit onvoldoende is. Er zijn dan twee mogelijkheden;
Voor de categorie C geldt geen specifieke handeling. Van belang is om deze uitkomst in stand te houden. Voor de categorieën A en B geldt dat de beschikbare weerstandscapaciteit kan worden afgeroomd. Uit voorzichtigheid en rekening houdend met fluctuaties in de benodigde weerstandscapaciteit wordt de afroming stapsgewijs uitgevoerd. Bijvoorbeeld door ieder jaar wanneer een overschot blijkt, dit overschot met maximaal 50% af te romen.
Het beleid ten aanzien van het weerstandsvermogen is samen te vatten in het antwoord op de vraag ‘hoe wordt het weerstandsvermogen op peil gehouden?’.
Een beroep op het weerstandsvermogen (of liever gezegd de beschikbare weerstandscapaciteit) moet worden gezien als een laatste optie om de gevolgen van risico’s op te vangen. Tot aan het moment van optreden heeft de risico eigenaar nog de mogelijkheid om maatregelen te treffen. Het cyclische risicomanagementproces is daarvoor zijn gereedschap/instrument. Wanneer het risico eenmaal optreedt rest nog louter symptoombestrijding. Met de aanwezigheid van weerstandsvermogen wordt als het ware ‘tijd gekocht’ om weloverwogen keuzes te maken voor aanpak van de gevolgen. Vervolgens wordt opnieuw de risicomanagementcyclus doorlopen om bijsturingsmaatregelen te treffen.
In de voorjaarsnota, begroting en jaarrekening wordt de paragraaf weerstandsvermogen en risicobeheersing gepresenteerd. Als uit deze paragraaf (risicorapportage) blijkt dat het weerstandsvermogen matig (D), onvoldoende (E) of slecht (F) is, moet in dezelfde rapportage worden aangegeven welke concrete maatregelen zijn getroffen om het weerstandsvermogen op peil te brengen.
Wanneer een beroep wordt gedaan op de beschikbare weerstandscapaciteit wordt in de eerst volgende (bovenvermelde) P&C cyclus rapportage opnieuw de ratio weerstandsvermogen bepaald. Indien noodzakelijk worden concrete maatregelen tot aanvulling worden opgenomen.
Bij het op peil houden van het weerstandsvermogen kunnen zich, met uitzondering van een neutrale uitkomst, twee situaties voordoen;
Ad 1) Het aanvullen van de weerstandscapaciteit heeft twee oorzaken;
Als een beroep wordt gedaan op de weerstandscapaciteit moet bij de besluitvorming (B&W nota) direct worden aangegeven met welke maatregelen het weerstandsvermogen binnen maximaal 1 begrotingsjaar weer op niveau wordt gebracht.
Ad 2) Zoals in de vorige paragraaf vermeld is het vanuit voorzichtigheid en rekening houdend met fluctuaties in de benodigde weerstandscapaciteit, belangrijk de afroming stapsgewijs uit te voeren (en niet direct in één keer). Afromen is enkel mogelijk wanneer uitkomst weerstandsratio > 1,2. De stapsgewijze afroming wordt geeffectueerd door jaarlijks maximaal 50% van het overschot op een andere wijze in te zetten. Over de eventuele resterende 50% wordt bij de volgende begroting besloten.
7. Risico Informatie Systeem (RIS)
Als hulpmiddel voor de uitvoering van risicomanagement maakt de gemeente Deventer gebruik van een Risico Informatie Systeem (RIS). In deze database worden alle geïdentificeerde risico’s met bijbehorende kans van optreden en gevolg op uniforme wijze vastgelegd en gemonitord. Het instrument is onder andere bedoeld om het gesprek over risico’s intern (ambtelijk) en eventueel met college en raad te ondersteunen.
Als verantwoordelijke managers worden in het RIS de volgende functionarissen onderkend:
Iedere manager is verantwoordelijk voor het risicomanagement met betrekking tot de aan hem/haar toegewezen taken en verantwoordelijkheden. In dit kader moet ieder persoon tijdig, juist en volledig zijn risico’s registreren in de database.
De database geeft inzicht in de actuele risico’s binnen de gemeente Deventer. Door de hele organisatie gebruiken we dezelfde database en beschrijvingswijze. De financiële risico’s waarvoor weerstandsvermogen moet worden aangehouden, worden gebruikt bij het berekenen van de benodigde weerstandscapaciteit.
Het RIS als registratiesysteem is te benaderen via Intranet en onderstaande link. Externe link: https://intra.deventer.nl/project/ris/default.aspx
Aan de rechterkant van de pagina staan de koppelingen naar de database, de standaardrapportages en de handleiding van de rapportages. Aan de linkerkant staat onder andere een instructie en achtergrond informatie over het RIS.
Aansluitend op de actualisering van de beleidsnota wordt onderzoek gedaan naar een systeem voor integraal sturen en beheersen. Hierbij heeft Deventer een gemeentebreed RIS voor ogen met een vastgestelde scoretabel voor risico’s. Uitgangspunten voor dit onderzoek zijn onder andere;
Aandachtspunten voor het (nieuwe) RIS vanuit deze beleidsnota
Deze beleidsnota biedt functionele (technische) specificaties die van belang zijn voor het (nieuwe) RIS. Dit zijn onder andere de volgende items;
De verschillende invalshoeken (ook wel RISMAN brillen genoemd) die Deventer hanteert bij haar risico analyse. Dit betreft de politiek/bestuurlijke, de financieel/economische, de juridische/wettelijke, de technische, de organisatorische, de geografische/ruimtelijke en maatschappelijke invalshoeken – hoofdstuk 1, paragraaf 1.2 en hoofdstuk 4.
Aldus vastgesteld in de openbare raadsvergadering van 22 april 2015
De raad voornoemd,
drs. S.J. Peet
de griffier,
ir. A.P. Heidema
Bijlage 2. Beleidskader verrekenen kansen met risico’s
In het beleidskader hierboven is de werkwijze voor salderen van kansen (positieve gevolgen) met risico’s (negatieve gevolgen) niet expliciet opgenomen. In deze bijlage wordt dit kader gesteld en nader toegelicht.
De definitie van risico geeft aan dat een bepaalde (onverwachte) gebeurtenis een negatief effect (risico) op realiseren van een doelstelling kan hebben. Dit is eenzijdig gedefinieerd, want er bestaan ook onverwachte gebeurtenissen met een positief effect (kansen) op het realiseren van een doelstelling.
De positieve en negatieve effecten kunnen in de meeste brede zin worden geïnterpreteerd.
Om te voorkomen dat tegenover de (algemene) risico’s even zoveel (algemene) kansen worden geïdentificeerd en wordt gesteld dat daardoor de organisatie per saldo geen risico loopt, is in de beleidsnota de beperking opgenomen dat enkel wordt uitgegaan van de negatieve gevolgen van risico’s.
Zonder deze beperking zou dit namelijk kunnen leiden tot het compenseren van een negatief gevolg (risico) binnen een bepaald product/project door een positief gevolg (kans) binnen een ander product/project. De twee gevolgen hebben geen betrekking op dezelfde activiteit. Vanuit voorzichtigheid mogen deze twee effecten niet worden verrekend. Iedere activiteit of doel moet worden beoordeeld binnen de ‘omgeving’ waar het zich afspeelt.
Op het moment dat de risico’s (negatief gevolg) en de kansen (positief gevolg) voor het bereiken van een bepaald doel in beeld zijn kan de beoordeling plaatsvinden.
Op basis van het gedifferentieerd profiel van risico’s en kansen kan een manager vervolgens besluiten om negatieve en positieve gevolgen met elkaar te verrekenen.
De manager moet in staat zijn om, op basis van de risico’s en kansen rondom een te bereiken doel, beheersmaatregelen te treffen die de negatieve gevolgen bij het optreden van risico’s minimaliseren. Het bestuur moet vervolgens in staat zijn om een oordeel te kunnen over de omvang en de samenstelling van het weerstandsvermogen.
Dit is enkel mogelijk door het te bereiken doel centraal te stellen en alle gerelateerde risico’s (negatieve gevolgen) en kansen (positieve gevolgen) in kaart te brengen.
Voor het verrekenen van risico’s (negatieve gevolgen) en kansen (positieve gevolgen) zijn de volgende uitgangspunten van toepassing;
Ter verduidelijking volgen hieronder zes voorbeelden;
Door het uitvoeren van een integraal aanbestedingsbeleid kan de gemeente een mogelijk voordeel (positief gevolg) van € 1.000.000 realiseren op alle inkopen (minder lasten).
Binnen een grondexploitatieproject wordt als gevolg van de crisis een lager resultaat (negatief gevolg) van € 2.000.000 verwacht dan waar in de calculatie van is uitgegaan (minder baten).
de twee gevolgen geen betrekking hebben op hetzelfde project of activiteit. Ieder project moet binnen zijn eigen ‘omgeving’ worden beoordeeld. Wanneer wel zou worden verrekend geeft dit geen ‘zuiver’ beeld van de problematiek binnen het grondexploitatieproject. Dit leidt vervolgens tot het niet of onvoldoende treffen van beheersmaatregelen;
Deventer verwacht dat het aanslaan van een nieuwe aanpak voor het begeleiden van bijstandontvangers naar een baan een voordeel (positief gevolg) oplevert in het WWB-I budget deel van € 500.000 (minder lasten).
Bij een grondexploitatie project wordt als gevolg van de economische crisis een lager resultaat verwacht ten bedrage van € 1.500.000.
Deventer verwacht dat wanneer de economische crisis doorzet (gebeurtenis) er op een bepaald moment geen animo meer is voor kavels binnen een bepaald grondexploitatieproject waardoor het project wordt beëindigd (negatief gevolg). Dit levert een verlies op van € 3.000.000.
Binnen hetzelfde grondexploitatieproject wordt gerekend op een lagere inkoopprijs ad. € 500.000 (positief gevolg) omdat verwachte prijsstijgingen (gebeurtenis) waarschijnlijk niet doorgaan.
Deventer verwacht voor een bepaalde grondexploitatieproject een voordeel (positief gevolg) te behalen van € 250.000 doordat de inkoopprijzen van materiaal minder snel stijgen (gebeurtenis) dan waar bij de calculatie van was uitgegaan.
Bij hetzelfde project wordt een afname van het resultaat verwacht (negatief gevolg) van € 1.000.000 als gevolg van een daling van de grondprijs (gebeurtenis) door de economische crisis.
Deventer verwacht voor een bepaalde grondexploitatieproject een voordeel (positief gevolg) te behalen van € 500.000 door een snellere uitgifte (gebeurtenis) van kavels in de eerste 5 jaar door verlaging van de uitgifteprijs.
Voor hetzelfde project wordt een afname in het resultaat verwacht van € 1.000.000 (negatief gevolg) doordat de uitgifteprijs wordt verlaagd (gebeurtenis).
De kans bestaat dat uit een onderzoek wordt vastgesteld dat Deventer bij een bepaald grondexploitatieproject een bodemsanering moet laten uitvoeren (gebeurtenis). De extra kosten zijn naar verwachting € 500.000 (negatief gevolg).
Voor hetzelfde project wordt als gevolg van het mogelijk aantrekken van de economie een hoger resultaat verwacht van € 2.000.000 (positief gevolg).
Het salderen van risico’s met een positief en een negatief gevolg binnen een specifieke activiteit, project of product levert geen onverantwoord of onvoorzichtig risicoperspectief op. Er is met name sprake van een meer gedifferentieerd risicoprofiel waarbij gerelateerde positieve ontwikkelingen (kansen) worden meegenomen in de beheersing van de activiteit. Voor de manager gespecialiseerd op het specifieke product, betekent dit dat hij/zij op basis van de verschillende ontwikkelingen (met mogelijke positieve en negatieve gevolgen) beheersmaatregelen moet nemen.
De handelswijze (toegepast bij de jaarrekening 2012 en de voorjaarsnota 2013) is voorgelegd aan onze accountant (Deloitte). Hij stelt in zijn reactie samengevat het volgende;
‘In de lijst met risico,s behorende bij de voorjaarsnota 2013 staan 5 negatieve bedragen. Uit een nadere beschouwing blijkt dat deze 5 posten allen verband houden met grondexploitaties waarvoor ook andere risico,s zijn geformuleerd die nauw gerelateerd zijn aan de afzonderlijk genoemde risico,s met een negatief bedrag. Als je in de lijst deze complexen als 1 geheel beschouw, wat in de praktijk ook gebruikelijk is bij de waardering van de complexen en voorzieningen hierop, dan kun je stellen dat de huidige handelswijze aanvaardbaar en consistent is.’
De beschreven handelswijze kan op basis van het bovenstaande als aanvaardbaar en consistent worden beschouwd.
Bijlage 3. Risicomanagementproces (methode)
Een goed functionerend risicomanagementsysteem is gebaseerd op uitgangspunten en doelstellingen die door de organisatie (risico eigenaren) worden onderkend en in het risicomanagementbeleid zijn geformuleerd. Dit vormt gelijk het referentiekader bij het continu doorlopen van het risicomanagementproces.
Vanuit het vakgebied begint risicomanagement met het formuleren van uitgangspunten en doelstellingen. Vervolgens wordt een cyclisch proces doorlopen dat start met het benoemen van de context en vervolgens via identificatie en classificatie/kwantificatie van risico’s leidt tot het formuleren en implementeren van beheersmaatregelen. Na rapportage en evaluatie start dit proces opnieuw.
Hiervoor is een redelijk algemeen risicomanagementproces voorhanden dat meestal is gebaseerd op 5 of 6 verschillende stappen. Zoals in hoofdstuk 1 aangegeven kent Deventer een risicomanagementproces van 6 stappen.
In de volgende paragrafen worden de verschillende stappen elk afzonderlijk toegelicht.
Waarover gaat het en wat willen we bereiken?
Risicomanagement is geen doel op zich maar een middel. Het is daarom belangrijk om na te gaan wat je ermee wilt bereiken. In deze stap wordt gekeken naar de aspecten die van belang zijn voor de risico analyse.
Kijk eerst naar de actuele context van de opdracht, het project, de afdeling of de organisatie. Wat is het doel en waar sta je nu. Waardoor wordt je verrast en zijn er zaken die het bereiken van je doel negatief beïnvloeden. Heb je het gevoel in control te zijn en overzie je de zaken?
Voor het bepalen van de context moeten de volgende stappen worden genomen;
Deze stap leidt tot een onderbouwd antwoord op de vraag: Wat gaan we doen en wie is waarvoor verantwoordelijk?
Begin niet zomaar met een risicoanalyse. Denk vooraf goed na over je doel en of risicomanagement hiervoor het meest geschikte instrument is. Betrek vooral ook anderen bij het maken van de afweging. Zorg voor een open en veilige sfeer. Waak ervoor dat risicomanagement niet wordt gezien als een instrument om het functioneren van betrokkenen te beoordelen.
Bekijk vervolgens met elkaar welke omgevingsfactoren van toepassing zijn op de situatie (de opdracht, het project, de afdeling of de organisatie). Probeer deze factoren eventueel in een beïnvloedingsmodel (krachtenveld) te plaatsen. Dit geeft inzicht in de mate van beïnvloeding door je omgeving op het bereiken van je doel.
Deze eerste stap levert inzicht in de omgeving (het krachtenveld) waarbinnen je doel moet worden gerealiseerd en wie daarin participeren. Het geeft eveneens inzicht in de verschillende rollen en verantwoordelijkheden en wie of wat er invloed heeft op het proces van risicomanagement.
2. Identificeren en classificeren
In deze stap wordt geprobeerd om een beeld te krijgen van gebeurtenissen die het behalen van de doelstellingen kunnen belemmeren of vertragen.
Om een zo breed mogelijk beeld te krijgen van de risico’s moet vanuit meerdere invalshoeken worden gekeken naar het te bereiken doel. Voorbeelden van invalshoeken zijn;
Het gaat er dus om of alles in beeld komt en of dit beeld actueel is.
Bepaal hoe je de inventarisatie wilt organiseren. Ga je enkele collega’s interviewen (intercollegiale consultatie) of organiseer je een risicomanagementsessie (expertmeeting)? Interviews hebben als voordeel dat snel een breed beeld kan worden verkregen en biedt de mogelijkheid tot verdieping. Bijeenkomsten hebben als voordeel dat in korte tijd veel risico’s worden geïdentificeerd en geclassificeerd.
Denk bij de uitvoering aan de volgende punten;
Deze stap leidt tot een onderbouwd antwoord op de vraag: Zijn de risico’s in beeld en is het actueel?
Deze stap levert een overzicht van risico’s waarbij de gebeurtenis, de oorzaak en het gevolg eenduidig en helder zijn geformuleerd.
3. Classificeren en kwantificeren
Wat zijn onze belangrijkste risico’s?
Na het in beeld brengen van de risico’s worden deze toegewezen aan risico eigenaren. Deze personen zijn operationeel verantwoordelijk voor het risico. Zij analyseren en beoordelen de risico’s in termen van kansen (waarschijnlijkheid) en verwachte omvang van het gevolg (impact).
Deze risicoweging is in Deventer gebaseerd op basis van indeling in risicoklassen.
In deze fase worden de geïdentificeerde risico’s stuk voor stuk geanalyseerd en beoordeeld. Voor elk risico wordt de kans van optreden (waarschijnlijkheid) en de mogelijke omvang van het gevolg (impact) bepaald. Door de risico’s op deze wijze te classificeren wordt ordening aangebracht waarmee wordt bepaald welke risico’s de belangrijkste zijn. Daarnaast geeft het inzicht op welke risico’s de beheersingsmaatregelen moeten worden geconcentreerd. Hiermee ontstaat inzicht in de mate van risicogevoeligheid. Vervolgens wordt die omgezet in een zogenaamde risicoscore.
In deze fase maak je een inschatting van de gevolgen (omvang/impact) en de kans (waarschijnlijkheid) van optreden voor alle geïdentificeerde risico’s.
De twee onderzoeksvragen waarop je antwoord moet krijgen zijn;
Voor het beantwoorden van deze twee vragen hanteert Deventer de volgende risicoklassen;
Classificering gevolg (impact)
Als een risico optreedt kan dit op meerdere terreinen gevolgen hebben. Denk daarbij aan;
In deze fase van het proces wordt van ieder risico bepaald wat het gevolg is als het risico optreed. Hieronder volgt een leidraad voor classificering van de gevolgen op bovenvermelde terreinen;
Voor het bepalen van risicoscore (zie hieronder) is het van belang dat je na het invullen van de verschillende gevolgen uitgaat van het criterium met de hoogste score. De uitkomst daarvan zal worden meegenomen op de risicokaart.
Wanneer bij het optreden van een bepaald risico een politiek gevolg van 3 (redelijk) wordt verwacht met een financieel gevolg van € 2,5 miljoen (score 4 - Aanzienlijk) dan moet worden uitgegaan van de hoogste score en dat is in dit geval dus 4 – Aanzienlijk.
Classificering kans(waarschijnlijkheid)
Voor het bepalen van de kans van optreden hanteert Deventer de volgende classificering; Kans (waarschijnlijkheid) van optreden
Kans (waarschijnlijkheid) van optreden
In bovenstaande twee tabellen zijn voor de indeling expliciet de scores 1 t/m 5 gehanteerd. Deze scores zijn namelijk de basis voor het indeling van de scorekaart die is gebaseerd op de uitkomst kans x gevolg.
Denk bij de uitvoering van deze beoordeling aan de volgende punten;
Wanneer voor ieder risico een score op beide onderzoeksvragen is bepaald wordt daarmee de risicoscore bepaald.
Een risico met een aanzienlijk maatschappelijk gevolg (verontwaardiging in grote groepen en regionale pers – score 4) en een kans van optreden van 50% (reële kans – score 3) geeft een risicoscore van 12 (= 4 x 3).
Zo krijgt een risico met een financieel gevolg van € 1.750.000 (klasse 4) en een kans van optreden van 20% (klasse 2) een risicoscore van 8 (= 4 x 2).
Wanneer vervolgens de scores per risico in een risicokaart (matrix) worden geplaatst ontstaat er inzicht in de mate van risico gevoeligheid.
Bij het intekenen van een risicoscore geldt dat hoe hoger de risicoscore;
Deze risicokaart wordt direct gebruikt als hulpmiddel om te bepalen aan wie welk risico wordt gemeld. Primair is het college verantwoordelijk voor alle risico’s en de raad is eindverantwoordelijk. Daarom is het belangrijk om afspraken te maken over het melden van risico’s. We hanteren het principe dat hoe hoger de risicoscore, hoe hoger het niveau in de organisatie waar het risico bekend moet zijn. Risico’s met een risicoscore van 12 en hoger melden we altijd gerapporteerd aan de raad via de paragraaf weerstandsvermogen en risicobeheersing van de P&C cyclische rapportages. Risico’s met een risicoscore kleiner dan 12 worden niet gerapporteerd via de paragraaf weerstandsvermogen en risicobeheersing van de P&C cyclische rapportages. Het betreffen uiteraard wel risico’s waarop risicobeheersing wordt toegepast en integraal worden meegenomen bij het bepalen van de benodigde weerstandscapaciteit.
Wanneer zich buiten de cyclus om substantiële ontwikkelingen voordoen dan geldt een actieve informatieplicht.
Deze stap leidt tot een onderbouwd antwoord op de vraag: Welke risico’s moet als eerste worden aangepakt?
Op basis van de classificatie worden risico’s ingedeeld naar kans en gevolg en kan uit de weergave snel worden bepaald welke risico’s prioriteit vereisen. Dit geeft nog geen indicatie voor het aanhouden van weerstandsvermogen. Hiervoor is kwantificering vereist. Dit kan worden verkregen door enkel de risico’s met een financieel gevolg te beoordelen. Voor het beoordelen van het weerstandsvermogen en het opstellen van de paragraaf weerstandsvermogen (zie verder hoofdstuk 6) gaat Deventer uit van onderstaande financiële classificering en impactanalyse;
Hoe kunnen we onze risico’s beheersen?
Nu de risico’s in kaart zijn gebracht en de mate van focus is aangebracht moet worden nagedacht over de manier waarop de toprisico’s zo goed mogelijk worden beheerst. Daar is het immers allemaal om begonnen. Het is goed te realiseren dat het doel niet is; koste wat het kost risico’s vermijden. Nee, in deze stap vindt de overweging plaats wat met het risico gaat gebeuren.
Er zijn vier vormen van omgang met risico’s;
De manier waarop je met risico’s omgaat, wordt mede bepaald door de omgeving van je opdracht, project, afdeling of organisatie. Denk daarbij vooral aan de context en uitgangspunten die je eerder hebt gesteld. Oftewel je ‘risk appetite’. Deze bepalen namelijk hoeveel risico je kan, mag en wilt lopen.
Als je een beheersmaatregel neemt moet deze wel effectief en proportioneel zijn. Soms is het goedkoper het risico te nemen.
De volgende punten helpen bij het bepalen van de beheersmaatregelen;
Een risico kan het best worden beheerst door diegene die er het meeste last van heeft als het risico of de ongewenste gebeurtenis daadwerkelijk optreed. Die persoon of partij heeft er immers het meeste belang bij dat het risico niet optreed en/of dat de gevolgen beperkt blijven.
Maak bij de allocatie van de beheersing een afweging tussen belang (willen) en mogelijkheid (kunnen). Zorg er in ieder geval voor dat duidelijk is wie welk risico gaat beheersen (risico-eigenaar). Maak vervolgens afspraken over de bijbehorende taken, verantwoordelijkheden en bevoegdheden.
Het uitvoeren van het beheersmaatregelonderzoek levert een set aan beheersmaatregelen op. Wanneer de beheersmaatregelen met een positief financieel effect op het financiële gevolg van een risico in mindering wordt gebracht resulteert de ‘netto verwachte omvang’.
Deventer maakt dus onderscheid tussen de bruto verwachte omvang en netto verwachte omvang van een risico;
Deze netto verwachte omgang vormt, in combinatie met de verwachte kans, uitgangspunt bij het bepalen van de totale omvang aan risico’s.
Een regelmatig voorkomende situatie van een vermindering door het treffen van een beheersmaatregel is, dat binnen een infrastructureel project een risicovoorziening (stelpost) wordt gevormd voor onvoorziene uitgaven dan wel risico’s. Ook komt het voor dat bepaalde risico’s worden verzekerd waarmee het totale risico van het betreffende project afneemt. Denk bijvoorbeeld aan het project Stadhuiskwartier.
Deze stap leidt tot een onderbouwd antwoord op de vraag: Welke beheersmaatregelen passen we toe?
Weerstandsvermogen aanhouden of niet?
Een vraag die op dit moment in het proces kan worden gesteld is of voor de netto verwachte omvang (restrisico) weerstandsvermogen moet worden aangehouden. Hieronder staan criteria die van belang zijn om te bepalen of hiervoor weerstandsvermogen moet worden aangehouden.
Criteria voor aanhouden weerstandsvermogen
Voordat een risico wordt opgenomen in de weerstandsparagraaf zijn de beheersmaatregelen ter reductie van de kans en gevolg van optreden van het risico (economisch) volledig toegepast. Denk hierbij onder andere ook aan mogelijke bezuinigingen of herprioritering van gestelde doelen. Houdt daarbij wel de te realiseren dienstverlening in de gaten.
De kans en het financiële gevolg zijn voldoende onderbouwd. Dit betekent dat aan zowel de kans als het financiële gevolg een betrouwbaar onderbouwing (oordeel) ten grondslag ligt. Dit kan bijvoorbeeld zijn gebaseerd op onderliggende calculaties of aanwijsbare ervaringen uit eerder voorgevallen situaties.
Bij risico’s die niet binnen 1 jaar zullen optreden (dus risico’s > 1 jaar) moeten eerst worden beoordeeld of er extra beheersmaatregelen mogelijk zijn ter reductie. Vervolgens moet worden gekeken, voor het opvangen van het financieel gevolg, naar herprioritering van het huidig budget of eventueel een verzoek voor extra middelen in de eerstvolgende bestuursrapportage.
In deze beleidsnota wordt hier verder niet op ingegaan. Naast het herijken van de beleidsnota uit 2007 wordt onderzoek gedaan naar het ‘weerstandsvermogen: meer dan een rekenkundige oefening’. Bij dit onderzoek zal onder andere worden gekeken naar de bepaling van het weerstandsvermogen en risicoweging.
5. Beheersmaatregelen toepassen en toetsen
Hoe passen we de beheersmaatregelen toe?
Voor de belangrijkste risico’s zijn nu de verschillende alternatieven afgewogen (balancing the risks). Risico’s die niet zijn overgedragen, geaccepteerd of met de juiste beheersmaatregelen zijn vermeden moeten zelf worden beheerst. Hiervoor zijn bij de vorige stap beheersmaatregelen bedacht. Bij deze stap komt het aan op beantwoording van de volgende vragen;
Wat betreft de uitvoering is het van belang dat zoveel mogelijk planmatig wordt gewerkt. Maak een plan waarin staat wat je gaat doen, wat je daarvoor nodig hebt (zowel middelen als mandaat), hoe je de effecten van de getroffen maatregelen bewaakt en hoe je daarover rapporteert (terugkoppelen).
De volgende punten helpen in deze fase;
Het resultaat van deze stap is een duidelijk overzicht van de verdeling van de risico’s over verschillende programma’s en verantwoordelijken. Vervolgens ontstaat een beeld van de beheersmaatregelen die zijn toegepast met de bijbehorende positieve en/of negatieve effecten. Wanneer deze maatregelen en uitkomsten bijvoorbeeld in een database worden bijgehouden kan dit integraal ter beschikking worden gesteld en door andere risico-eigenaren worden geraadpleegd. Dit levert inzicht op in beheersmaatregelen die wel effectief zijn (in een bepaalde situatie) en welke niet.
Deze stap leidt tot een onderbouwd antwoord op de vraag: Hoe passen we beheersmaatregelen toe?
Wat moet worden verantwoord, wat is er veranderd en wat hebben we geleerd?
Het college is gehouden om relevante informatie over de ontwikkeling van risico’s en de risicopositie tijdig en ongevraagd onder de aandacht van de raad te brengen.
Betreffende informatie moet in ieder geval antwoord geven op de volgende vragen;
Bij de rapportage over de risico’s is sprake van gelaagdheid. Op niveau van de dagelijkse aansturing is het logisch dat er meer inzicht is in de individuele risico’s en het effect van de maatregelen. De gelaagdheid in rapporteren is in paragraaf 3.4 vormgegeven op basis van de risicoscore. Risico’s met een score van 12 of hoger worden periodiek, via de paragraaf weerstandsvermogen en risicobeheersing van de P&C cyclische rapportages, gemeld aan de raad. In de zomerrapportage en de najaarsrapportage wordt gerapporteerd over de stand van zaken met betrekking tot de risico’s.
Risico’s worden in de rapportage niet geclusterd. Dit betekent dat over elk risico met een score van 12 of hoger apart wordt gerapporteerd. Dit levert inzicht in de opbouw van het totale actuele risico en bevordert de transparantie en controleerbaarheid.
Zoals hierboven vermeld kent de gemeente Deventer een actieve informatieplicht. Buiten de reguliere cyclus is er een meldingsplicht aan de raad voor nieuwe risico’s met een risicoscore van 15 of hoger (potentiële financiële impact > € 500.000).
Onderwerpen waar je bij verantwoording en rapportage over risico’s en risicomanagement aan moet denken zijn opgenomen in de volgende checklist:
Het resultaat van deze stap is een periodieke risicorapportage waarin in ieder geval antwoord wordt gegeven op de hierboven vermelde vragen. Wettelijk is gesteld dat in ieder geval bij de begroting en jaarrekening een paragraaf weerstandsvermogen en risicobeheersing wordt opgesteld. Deventer heeft daar de voorjaarsnota aan toegevoegd.
Deventer hanteert naast de P&C cyclus rapportages geen aparte risicomanagementrapportage. Zij verantwoordt haar risicobeleid via de P&C cyclus rapportages aan de raad.
Kort samengevat wordt het volgende gerapporteerd:
Een groot deel van het proces is nu afgerond. De risico’s zijn geïnventariseerd en geanalyseerd en er zijn beheersmaatregelen bepaald, uitgevoerd en getoetst. Ben je dan klaar?
Nee, risicomanagement is een cyclisch proces. Als uit de evaluatie blijkt dat het effect van de maatregel niet is wat het had moeten zijn dan moet er worden bijgestuurd.
Het is belangrijk om op bepaalde momenten (minimaal 1 keer per jaar) terug te kijken om beter vooruit te kunnen kijken. Hierdoor wordt de risico intelligentie (bewustzijn) binnen de organisatie verder aangescherpt. Je leert zo beter prioriteiten te stellen en de effecten van de beheersing beter in te schatten. Binnen de programma’s zal minimaal 1 keer per jaar een kwaliteitsanalyse moeten worden gemaakt en tijdens een bijeenkomst met de risico-eigenaren moeten worden besproken. Vragen die dan aan de orde komen zijn:
Voor het evalueren van het proces en de resultaten kun je het best de volgende stappen doorlopen:
Het resultaat van het risicomanagementproces kun je beoordelen door jezelf de volgende vragen te stellen:
Heeft de opdrachtgever of leidinggevend management zich gecommitteerd aan het nut en de noodzaak van het toepassen van risicomanagement? Zo ja waar blijkt dat uit?
Is vooraf bepaald hoeveel risico de organisatie wil lopen? Zo ja, hoeveel dan? Mandaat
Heeft de opdrachtgever van het proces voldoende mandaat om de complete cyclus bij herhaling te doorlopen? Zo ja, waar is dat vastgelegd?
Is er voldoende bereidheid om open over risico’s te praten? Zo ja, waar blijkt dat uit?
Is vooraf bepaald welke medewerkers verantwoordelijk zijn voor het implementeren van risicomanagement, dan wel het uitvoeren van het proces? Zo ja, wie zijn dat?
Is vooraf bepaald welke instrumenten worden gebruikt bij het doorlopen van het proces? Zo ja, welke zijn dat?
Zijn er voldoende middelen (tijd, geld, capaciteit) beschikbaar om het proces te doorlopen en te handelen op basis van de uitkomsten? Zo ja, hoeveel en waar is dat vastgelegd?
Is vooraf bepaald met welke frequentie het proces wordt doorlopen? Zo ja, wat is die?
Is vooraf bepaald hoe en aan wie over de uitkomsten en maatregelen wordt gerapporteerd? Zo ja, hoe en aan wie?
Sluit risicomanagement aan bij de bestaande processen? Zo ja, hoe?
Een belangrijk onderdeel van risicomanagement en dit beleidskader is de inbedding ervan in onze organisatie. De vraag is hoe we dit kunnen bewerkstelligen.
Hieronder volgen kort een aantal indicatoren voor implementatie van risicomanagement binnen de gemeente Deventer.
Is risicomanagement breed in de organisatie bekend en toegelicht?
Als risicomanagement op een optimaal niveau functioneert wordt binnen de strategische besluitvorming ook in termen van risicomanagement gedacht. Er wordt rekening gehouden met bedreigingen die voortvloeien uit beleidskeuzes, de mogelijke financiële impact van beleidskeuzes en het effect op het functioneren van de organisatie. Binnen de besluitvorming wordt gekozen voor risicobeheersende beleidsbepaling. Niet om elk risico te vermijden maar om risico’s inzichtelijk te maken en beheersbaar te houden.
Binnen de organisatie is een document over risicomanagement opgesteld. Stakeholders worden geïnformeerd over risicomanagement, de maatregelen, methoden, technieken en hulpmiddelen. Dit verhoogt de kennis en betrokkenheid (risico bewustzijn).
Zijn de juiste omstandigheden voor inbedding binnen Deventer gecreëerd?
Bij risicomanagement is kennis in verschillende opzichten van groot belang. In algemene vorm betreft het de kennis van de organisatie en haar omgeving, zoals de visie en de missie maar ook de concrete doelstellingen. Denk hierbij aan de contextfase uit hoofdstuk 5. Daarnaast is kennis over de risicomanagementsystemen en methodieken gewenst. Een voorbeeld hiervan zijn projecten waar de technische kennis omtrent bijvoorbeeld de risico’s rondom realisatie een voorwaarde zijn voor goed risicomanagement. Om deze expansie te realiseren is het van belang te faciliteren in uitwisseling van kennis en ervaring door het organiseren van workshops en risicomanagementsessies. Daarnaast is het van belang om medewerkers opleidingen en trainingen te bieden. Hierdoor neemt het risicobewustzijn van de organisatie toe.
Wordt risicomanagement vanuit een vast punt in de organisatie ondersteund?
Om inbedding van risicomanagement binnen Deventer te bevorderen, is het van belang dat vanuit één vast punt (persoon of team) het proces van risicomanagement wordt gemonitord en signalen geeft naar de organisatie. Dit team (of functionaris) beheerst het proces, draagt zorg voor de risico inventarisatie en beheersmaatregelen en stimuleert participatie van medewerkers. Risicomanagement moet namelijk een integraal onderdeel zijn van de taken van een manager.
De huidige situatie is dat team AB en team PCA maandelijks een gesprek voert met het management. Dit gesprek is inhoudelijk gericht op de risico’s zelf en de beheersmaatregelen. Hiermee wordt in een deel van de ondersteuning voorzien.
De aanbeveling is om risicomanagement binnen de Deventer organisatie op één vast punt te organiseren. Binnen dit team (of bij betreffende functionaris) moet kennis beschikbaar zijn over:
Vanuit deze situatie kan de implementatie planmatig worden aangepakt. Een optie is om hierbij gebruik te maken van de Plan Do Check Act methode3. Daarmee wordt bereikt dat er continue wordt gekeken naar verbetering van het risicomanagementproces. Daarnaast sluiten de bij deze methode toegepaste aspecten inspireren, mobiliseren, waarderen en reflecteren goed aan bij de zes stappen van het risicomanagementproces (hoofdstuk 3).
Checklist vanuit de Governance-cyclus
Risicomanagement is geen instrument dat kant en klaar op een organisatie kan worden toegepast. Iedere organisatie heeft haar eigen context. Een belangrijk succesfactor voor het invoeren van risicomanagement is de (bedrijfs-) cultuur. Gezien de verschillen daarin per organisatie is het onmogelijk om een standaard risicomanagement format uit te rollen. Iedere organisatie zal haar risicomanagement daarom ´custom made´ zelf moeten (laten) ontwikkelen.
Uit uitgebreid onderzoek naar risicomanagement modellen en verschillen tussen private en publieke organisaties is gebleken dat een aantal (succes)factoren van invloed is op het welslagen van risicomanagement. Wanneer daaruit de factor ‘Governance’ (en de Governance-cyclus: sturen, beheersen, verantwoorden en toezichthouden) nader wordt beschouwd kunnen aan de verschillende onderdelen aandachtspunten worden gehangen. Deze aandachtspunten zijn een checklist voor concernmanagers voor het toepassen van risicomanagement.
Concreet betekent dit, dat wanneer een beoordeling wordt gegeven van de aandachtspunten dit een bepaald beeld geeft van de mate en kwaliteit van risicomanagement binnen een organisatie. De beoordeling moet wel zelf door de organisatie vooraf worden gekwalificeerd.
De uitgebreide aandachtspuntenlijst per onderdeel van de Governance-cyclus is opgenomen in bijlage 5 van deze beleidsnota.
Bijlage 5. Aandachtspunten risicomanagement
Op basis van de Governance onderdelen sturen, beheersen en verantwoorden
(Bron: Deloitte- Risicomanagement: meer dan de som der delen – 2009)
Bijlage 6. Vragenlijst risicogesprek
In deze bijlage worden een aantal handreikingen gegeven om een gesprek te starten in het kader van risicomanagement.
Er zijn twee invalshoeken voor zo’n gesprek;
De eerste benadering leent zich vooral als de betrokkene meer werkt vanuit de doelstellingen (bijvoorbeeld beleidsafdelingen). De tweede benadering is met name geschikt als de betrokkene werkt in een productieomgeving (bijvoorbeeld administratieve of registratieve processen zoals burgerzaken of de financiële administratie). Belangrijk is dat de gekozen invalshoek aansluit bij de belevingswereld van de betrokkene.
Deze vragenlijst is voor een groot deel opgenomen in de verschillende stappen van het risicomanagementproces (hoofdstuk 5) maar worden hieronder voor het bestuur en management beknopt samengevat.
Kopieer de link naar uw clipboard
https://zoek.officielebekendmakingen.nl/gmb-2022-525913.html
De hier aangeboden pdf-bestanden van het Staatsblad, Staatscourant, Tractatenblad, provinciaal blad, gemeenteblad, waterschapsblad en blad gemeenschappelijke regeling vormen de formele bekendmakingen in de zin van de Bekendmakingswet en de Rijkswet goedkeuring en bekendmaking verdragen voor zover ze na 1 juli 2009 zijn uitgegeven. Voor pdf-publicaties van vóór deze datum geldt dat alleen de in papieren vorm uitgegeven bladen formele status hebben; de hier aangeboden elektronische versies daarvan worden bij wijze van service aangeboden.