Het (Besluit Begroting en Verantwoording provincies en gemeenten (hierna: BBV) verplicht provincies en gemeenten dat de begroting een paragraaf weerstandsvermogen en risicobeheersing bevat. Provinciale staten hebben in de Financiële Verordening Drenthe (artikel 12) vastgesteld dat Gedeputeerde Staten (GS) de kaders voor weerstandsvermogen en risicomanagement ter vaststelling door Provinciale Staten aanbieden. Hierin voorziet deze nota.

Het doel van deze nota is een kader te bieden voor risicomanagement: hoe gaat de provincie om met het beheersen van risico’s en wie is waarvoor verantwoordelijk binnen de organisatie.

Risicomanagement voegt bewustzijn toe over de mate waarin de provincie haar doelstellingen kan realiseren. Het dwingt tot het expliciet maken van kansen en risico’s en het beheersen daarvan. Het geeft de organisatie de mogelijkheid om proactief om te gaan met kansen en risico’s in plaats van reactief. Risicomanagement gaat ook over cultuur. Het vraagt een andere blik op de organisatie en de processen die daarbinnen vorm krijgen. Daarbij is het van groot belang dat het wordt gedragen door de hele organisatie en het bestuur. Dat is een belangrijke randvoorwaarde voor succes. Risicomanagement is dan ook meer dan alleen het financieel kwantificeren van risico’s.

De eerste stappen op het gebied van verbeterd risicobewustzijn zijn inmiddels gezet. Daarbij is het belangrijk om de dialoog met elkaar aan te gaan, van elkaar te leren en verwachtingen naar elkaar uit te spreken.

De definitie van het begrip risico is een gebeurtenis die een negatief of positief effect heeft op het bereiken van de organisatiedoelstellingen.

Risico’s worden geïdentificeerd aan de hand van de provinciale doelen. Analyse vindt plaats aan de hand van mogelijke gebeurtenissen (onzekerheden) die impact op de doelstelling kunnen hebben. De gevolgen van een risico kunnen zowel financieel als niet-financieel van aard zijn.

Risico’s zijn op onder andere de volgende terreinen te onderscheiden:

• •

  juridisch

• •

  beleid

• •

  financieel

• •

  grondexploitatie

• •

  arbeidsomstandigheden

• •

  informatiebeveiliging

• •

  integriteit

De financiële vertaling van de risico’s wordt opgenomen in de paragraaf Weerstandsvermogen in de begroting.

Risicomanagement is het kwantificeren en identificeren van risico’s en het bepalen van activiteiten die de kans van optreden en/of de gevolgen van risico’s beheersbaar houdt/maakt.

Betere beheersing van de doelstelling van een opgave, programma, project of going concernresultaat op tijd, geld, kwaliteit, informatie en organisatie als onderdeel van integraal management doordat:

• •

  vooraf wordt ingespeeld op toekomstig ongewenste gebeurtenissen (risico’s);

• •

  tijdig kan worden besloten om actie te ondernemen ter voorkoming of vermindering van risico’s;

• •

  risicobewustzijn wordt gecreëerd.

Het weerstandsvermogen is de mate waarin de organisatie in staat is financieel nadelige gevolgen van risico’s op te vangen zonder aantasting van bestaand beleid. Dit wordt gemeten door de benodigde weerstandscapaciteit (de risico’s met financieel gevolg) af te zetten tegen de beschikbare weerstandscapaciteit (de reserves die voor het opvangen van risico’s met financieel gevolg zijn ingesteld). Het weerstandsvermogen wordt uitgedrukt in de ratio weerstandsvermogen (zie 4.1).

De paragraaf Weerstandsvermogen en risicomanagement in de begroting geeft inzicht in de ratio weerstandsvermogen en de belangrijkste risico’s van de organisatie. Conform artikel 11 van het BBV wordt in de paragraaf Weerstandsvermogen en risicobeheersing in ieder geval opgenomen:

• 1.

  de inventarisatie van de beschikbare weerstandscapaciteit

• 2.

  de inventarisatie van de risico’s (benodigde weerstandscapaciteit)

• 3.

  het beleid omtrent het risicomanagement (waaronder de weerstandscapaciteit) en de risico’s

De weerstandscapaciteit is volgens de definitie van het BBV: de middelen en mogelijkheden waarover de provincie beschikt of kan beschikken om niet-begrote kosten te dekken. Deze capaciteit staat in nauw verband met de kwantificering van risico’s die de organisatie loopt bij het uitvoeren van de beleidsdoelstellingen binnen de opgaven. Er wordt onderscheid gemaakt in weerstandscapaciteit met een incidenteel en structureel karakter.

De incidentele weerstandscapaciteit is het vermogen dat ingezet kan worden om eenmalige tegenvallers op te vangen. De incidentele weerstandscapaciteit wordt bepaald door de risicoreserve. Deze reserve is ingesteld om incidentele tegenvallers op te vangen die niet door een specifieke voorziening worden afgedekt. Afhankelijk van de benodigde incidentele weerstandscapaciteit wordt deze reserve bijgesteld.

De structurele weerstandscapaciteit bestaat uit middelen die permanent ingezet kunnen worden om tegenvallers op te vangen, zonder dat dit ten koste gaat van de uitvoering van bestaande taken. De structurele weerstandscapaciteit bestaat uit de post onvoorziene uitgaven en een vast deel van de algemene reserve (€ 5.000.000,--). De onbenutte belastingcapaciteit kan ook worden meegenomen bij de bepaling van de structurele weerstandscapaciteit.

Risicomanagement ondersteunt in het behalen van doelen. Door op een gestructureerde manier kansen en risico’s in kaart te brengen krijgen wij beter inzicht in wat wij moeten doen om de doelen te behalen en waar wij eventueel moeten bijsturen. Risicomanagement is niet alleen een werkwijze maar ook een houding hoe je tegen risico’s aankijkt en wat je eraan gaat doen.

Risicomanagement maakt deel uit van integraal management. Risicomanagement:

• •

  voegt bewustzijn toe over de mate waarin doelstellingen behaald kunnen worden;

• •

  dwingt ons tot het expliciet maken van kansen en risico’s en het beheersen daarvan, en ondersteunt daarbij het behalen van doelstellingen en het opleveren van project- en programmaresultaten;

• •

  leidt tot betere besluitvorming door bewuster kansen te benutten en risico’s te nemen (of niet te nemen) en maatregelen in te zetten;

• •

  geeft de organisatie de mogelijkheid proactief om te gaan met risico’s en kansen in plaats van reactief;

• •

  draagt bij aan het zijn van een lerende organisatie.

Risicomanagement is een cyclisch proces (zie figuur 1) en start met het bepalen van de doelstellingen. Vervolgens volgt een inventarisatie én analyse van potentiele risico’s. De volgende stap is het kiezen van beheersmaatregelen om te bepalen hoe de organisatie met de risico’s om gaat. Daarna volgt de implementatie van de beheersmaatregelen. De laatste stap is het rapporteren en evalueren. Omdat niet alleen de provincie en de omgeving maar ook wet- en regelgeving kan veranderen moet regelmatig opnieuw worden bepaald of de uitgangspunten nog actueel en valide zijn.

Figuur 1

De werkwijze van de risicoanalyse is om samen met bestuur, management en medewerkers ongewenste gebeurtenissen in beeld te brengen, die zouden kunnen leiden tot het niet halen van de doelstellingen. De gebeurtenis kan gericht zijn op tijd, geld, kwaliteit, hinder, omgeving, veiligheid, imago, minder doelbereik etc. Vervolgens worden de gebeurtenissen geprioriteerd en passende maatregelen in beeld gebracht en waar nodig genomen. Om te komen tot de formulering van een risico is het van belang concreet te werk te gaan:

• •

  wat gaat er niet goed (gebeurtenis)?

• •

  waardoor kan het ontstaan (oorzaak)?

• •

  waar heeft het invloed op (gevolg)?

Bijvoorbeeld:

Markpartijen komen contract niet na (oorzaak) benodigde hardware kan niet worden geleverd (gebeurtenis) systeem kan niet tijdig in gebruik worden genomen (gevolg), extra capaciteit nodig ter overbrugging.

De gebeurtenissen vormen de ‘lijst’ met risico’s. Om uiteindelijk te komen tot een goede beheersing van het risico, is het nodig om de drie elementen in beeld te hebben. Zo heeft de organisatie aanknopingspunten voor de beheersing daarvan.

Daarnaast is de uitkomst van de risicoanalyse van invloed op het wel of niet aangaan van verplichtingen. Daarom is het belangrijk om bij de start van een programma of project een risicoanalyse uit te voeren om tijdig beheersmaatregelen te kunnen nemen.

Voor de beheersing van de geïnventariseerde risico’s wordt gekeken naar de mate waarin de risico’s te beïnvloeden zijn en welke impact de risico’s hebben op het halen van de doelstelling.

De volgende matrix wordt daarbij gebruikt:

Figuur 2

Wij brengen de volgende onderverdeling aan:

• 1.

  risico’s met een hoge beïnvloedbaarheid en hoge impact. Dit zijn risico’s die de strategie van de organisatie zowel positief als negatief kunnen beïnvloeden. Deze risico’s hebben een grote impact op het behalen van de doelstellingen en komen voornamelijk voort uit de eigen strategische keuzes van de organisatie. De belangrijkste vraag bij deze groep risico’s is hoe groot de risicobereidheid van de organisatie is. In de beheersing krijgen deze risico’s veel aandacht;

• 2.

  risico’s met een lage beïnvloedbaarheid en hoge impact. Deze bevinden zich grotendeels buiten de invloedsfeer van de organisatie (politiek, technologische ontwikkelingen, versnipperde wet- en regelgeving, macro-economisch, natuur, etc.) en zijn nauwelijks te beïnvloeden. Flexibiliteit is nodig om effectief te kunnen reageren zodra een mogelijke gebeurtenis zich daadwerkelijk voordoet. In de beheersing kunnen wij verwachtingen beïnvloeden en onze invloed op de externe omgeving proberen te vergroten. Daarnaast kunnen wij maatregelen treffen om de gevolgen van de risico’s te verkleinen;

• 3.

  risico’s met een hoge beïnvloedbaarheid en lage impact. Dit zijn interne, vaak operationele risico’s die in principe goed te beheersen zijn. Het gaat hierbij om een kosten-baten afweging. Wegen de kosten van de beheersmaatregelen op tegen het mogelijke nadeel bij het optreden van ongewenste gebeurtenissen? Voorbeeld hiervan zijn continuïteitsrisico’s in routinematige operationele processen. Te voorkomen risico’s kunnen bijvoorbeeld door regels en toetsing worden beheerst. Dit sluit overigens niet uit dat een goede dialoog over de risico’s niet zou werken;

• 4.

  de risico’s met een lage beïnvloedbaarheid en lage impact zijn de risico’s die in de beheersing de minste aandacht krijgen in vergelijking met de andere groepen risico’s

Via deze aanpak is het mogelijk risico’s te vergelijken op concernniveau (opgaven en doelstellingen) en snel te bepalen welke risico’s wel of niet beheerst dienen te worden. Na deze categorisering kan er gekeken worden naar de financiële gevolgen van bepaalde risico’s.

Verder passen wij differentiatie toe in de mate van risicomanagement. Op risicovolle activiteiten wordt een zwaarder risicomanagementregime toegepast dan op minder risicovolle activiteiten. Een zwaarder regime kan betekenen dat er een continue monitoring van risico’s plaatsvindt door een risicomanager.

Voor het berekenen en vastleggen van de benodigde weerstandscapaciteit wordt risicomanagement software NARIS gebruikt. Via deze applicatie is het mogelijk om risico’s te kwantificeren, simulaties uit te voeren en rapportages te genereren.

Het weerstandsvermogen is de mate waarin de organisatie in staat is financieel nadelige gevolgen van risico’s op te vangen zonder aantasting van bestaand beleid. Dit meten wij door de benodigde weerstandscapaciteit (de risico’s met financieel gevolg) af te zetten tegen de beschikbare weerstandscapaciteit (de reserves die voor het opvangen van risico’s met financieel gevolg zijn ingesteld). Het weerstandsvermogen wordt uitgedrukt in de ratio weerstandsvermogen.

Ratio weerstandsvermogen =

Beschikbare weerstandscapaciteit

Benodigde weerstandscapaciteit

Dit kengetal is slechts een indicatie van het weerstandvermogen. Het is onmogelijk om de benodigde weerstandscapaciteit op elk moment volledig in beeld te hebben, omdat risico’s continu aan verandering onderhevig zijn en inschattingen vaak subjectief zijn. Daarnaast kunnen er onverwachts nieuwe risico’s bijkomen. Voor de ratio wordt gebruik gemaakt van onderstaande waarderingstabel

Tabel 1: Waarderingstabel weerstandsvermogen

Voor het weerstandsvermogen wordt onderscheid gemaakt tussen de voorziene risico’s (de geïdentificeerde risico’s) en de onvoorziene risico’s (risico’s die nog niet in beeld zijn).

De provincie Drenthe houdt een ratio aan van het weerstandsvermogen van 1,0 tot 1,4 (voldoende) om onvoorziene risico’s af te dekken. Dit kunnen risico’s zijn die op het moment dat de risicoreservering wordt vastgesteld nog niet voorzienbaar zijn maar die zich op termijn voor kunnen doen. In de beginfase van activiteiten is vaak meer onzekerheid en is het krijgen van een zo volledig mogelijk beeld van de risico’s moeilijker en de kans dat zich onvoorziene risico’s voordoen groter. Naarmate activiteiten vorderen kan er steeds beter worden ingeschat welke risico’s zich kunnen voordoen. De balans (de ratio weerstandsvermogen) tussen de benodigde weerstandscapaciteit (de risico’s) en de beschikbare weerstandscapaciteit (de reservering) kan in de tijd veranderen.

Provinciale Staten stellen in de eerste helft van elke nieuwe Statenperiode de bandbreedte van de gewenste ratio weerstandsvermogen vast. Indien de ratio weerstandsvermogen onder deze gewenste ratio komt, leggen GS bij het opstellen van de begroting en jaarrekening aan Provinciale Staten een voorstel voor hoe hiermee om te gaan.

Conform artikel 11 van het BBV vindt verantwoording over het weerstandsvermogen en de belangrijkste risico’s plaats in de paragraaf Weerstandsvermogen en risicobeheersing van de Begroting en de Jaarrekening. In deze paragraaf dienen in ieder geval de volgende onderdelen te worden opgenomen:

• 1.

  een inventarisatie van de beschikbare weerstandscapaciteit;

• 2.

  een inventarisatie van de risico’s, de benodigde weerstandscapaciteit;

• 3.

  het beleid over het weerstandsvermogen en de risico’s.

De provincie gaat op de volgende wijze om met tegenvallers c.q. voorgevallen risico’s:

• 1.

  opvang binnen het eigen programma en daarbinnen beschikbare budgetten;

• 2.

  opvang binnen de eigen portefeuille (als GS deze afspraak onderling willen maken);

• 3.

  middelen binnen de begroting, inclusief de eventueel nog aanwezige vrije ruimte.

• 4.

  post voor onvoorziene uitgaven, conform de richtlijnen voor de inzet van deze post;

• 5.

  algemene reserve, indien geen al onderkend risico;

• 6.

  risicoreserve, pas als het gaat om voorziene risico’s waarbij schade daaraan te relateren is.

GS kunnen jaarlijks bij de vaststelling van de begroting een voorstel doen of er een bedrag moet worden toegevoegd of kan worden onttrokken aan de risicoreserve, afhankelijk van de ratio van het weerstandsvermogen.

Voor risicomanagementactiviteiten worden duidelijke rollen en verantwoordelijkheden en beslissingsbevoegdheden onderscheiden:

• 1.

  Provinciale Staten

Provinciale Staten stellen het risicomanagementbeleid vast voor een periode van vier jaar. Via de begroting stellen ze de paragraaf Weerstandsvermogen en risicobeheersing vast en geven daarmee de kaders aan waarbinnen het weerstandsvermogen van de provincie Drenthe moet blijven. Actuele informatie over de stand van het risicomanagement, de belangrijkste risico’s en reserveringen worden aan Provinciale Staten verstrekt via de paragraaf Weerstandsvermogen en risicobeheersing in de begroting en het jaarverslag en waar nodig in individuele Statenstukken.

• 2.

  Gedeputeerde Staten

Risicomanagement is een uitvoerende taak van GS en hanteren daarbij het kader zoals beschreven in deze nota. Verantwoording hierover aan Provinciale Staten vindt plaats door middel van de reguliere verantwoordingsstukken van de P&C-cyclus, dan wel in afzonderlijke Statenstukken wanneer hiertoe aanleiding is.

• 3.

  Ambtelijke organisatie

In de ambtelijke organisatie is risicomanagement een verantwoordelijkheid van de lijn en wordt door de coördinator risicomanagement in samenhang met de concerncontroller, integriteitscoördinator, informatiebeveiligingscoördinator en de risicomanager infrastructurele projecten uitgevoerd. De opdrachtnemers zijn verantwoordelijk voor het agenderen van risicomanagement in het gesprek met hun opdrachtgever. De ondersteuning is in de vorm van procesbegeleiding bij periodieke risicosessies. De coördinator risicomanagement organiseert de ondersteuning. De opdrachtgever is op zijn beurt verantwoordelijk voor het scherp blijven op de (voortgang van) risico’s. De coördinator risicomanagement schuift periodiek bij de portefeuilletafels aan om risicomanagement te agenderen, maar ook om de risico’s binnen de portefeuille eens te doorlopen. Dit is noodzakelijk voor het ontwikkelen van een gezond risicobewustzijn bij medewerkers.

De coördinator risicomanagement stelt binnen de P&C-cyclus de risico’s van de organisatie vast, monitort deze en draagt zorg voor het begeleiden in de formulering en monitoring van de beheersmaatregelen. Via de projecten en programmamodule in “De Brink” kunnen risico’s worden vastgelegd en verantwoord.

Periodieke audits worden gebruikt om de risico-inventarisatie, –analyse en de effectiviteit van de beheersmaatregelen te verifiëren. Deze onderzoeken kunnen worden opgenomen in het onderzoeksprogramma van de provinciale Onderzoekspool. Ook kunnen de risico’s worden meegenomen tijdens de verbijzonderde interne controle.

Daarnaast kunnen ook de Accountant en de Noordelijke Rekenkamer in managementletters of rapportages ingaan op het risicomanagement van de provincie Drenthe.

Ter bevordering van het integer handelen zijn zowel in wetgeving, te weten de Ambtenarenwet 2017, regels en vereisten opgenomen. Het bewust maken van deze regels en vereisten maakt deel uit van het risicomanagement bewustzijnsproces. In Basisnorm 4 is specifiek bepaald dat de organisatie periodiek onderzoek moet doen naar kwetsbare processen, functies en handelingen, daarvan een overzicht bijhoudt en maatregelen treft ter voorkoming van integriteitsschendingen.

Bij integriteitsrisico’s gaat het over risico’s op mogelijke integriteitschendingen en incidenten, met soms forse financiële, publicitaire, politieke en morele gevolgen.

Voorbeelden van risicofactoren zijn:

• •

  toegang tot vertrouwelijke informatie

• •

  omgaan met geld

• •

  machts- en monopolypositie

• •

  toekennen rechten/bevoegdheden (aan personeel of burgers)

• •

  beoordelen en adviseren (met grote gevolgen)

• •

  aanschaffen goederen/diensten/aanbestedingen

• •

  handhaven

• •

  solistisch handelen

• •

  werken in de directe invloedsfeer van burgers/bedrijven

Door inventarisatie van kwetsbare processen, functies en handelingen en waar nodig het verrichten van (diepgaande) risicoanalyses wordt inzicht verkregen in de risico’s die de organisatie én haar medewerkers lopen en of die voldoende worden beheerst. Dit inzicht biedt de mogelijkheid om de nodige beheersmaatregelen te treffen.

In algemene regelgeving en in specifieke regelgeving, zoals AVG, wet Bibob, WOB zijn informatiebeveiligingsaspecten opgenomen.

De provincie hanteert een basisniveau qua informatiebeveiliging (gebaseerd op het ISO27002 normenkader) ten aanzien van de beschikbaarheid van systemen alsmede de integriteit en vertrouwelijkheid van gegevens onder de verantwoordelijkheid van de provincie. Risico’s die qua informatiebeveiliging een bedreiging vormen voor een opgave, project of programma voor de bestaande informatievoorziening dienen daarom in kaart gebracht te worden. Het instrumentarium hiervoor is een Business Impact Analyse en een (pre) Privacy Impact Assessment. De reikwijdte van deze analyses dienen bij voorkeur ruim opgevat te worden door ook de maatschappelijk effecten mee te nemen. De coördinator informatiebeveiliging en de functionaris gegevensbescherming kunnen hierbij assisteren.

Indien voor het bereiken van doelstellingen een nieuw informatieverwerkingsproces opgezet wordt of een bestaand proces wordt aangepast dan kan zo’n proces zelf indirecte zin een risicofactor worden voor de doelbereiking. Het betreft zowel het proces zelf als ook de integratie met bestaande processen. De risico’s behoren met passende maatregelen beheerd te worden tot een aanvaardbaar niveau conform de tabel in paragraaf 3.1. Indien enige onzekerheid bestaat dan dienen ook informatiebeveiligingsrisico’s in financiële zin toegevoegd te worden aan het weerstandsvermogen.

Vanuit de ASV werken wij vanuit vertrouwen in plaats van wantrouwen. Aan dit vertrouwensprincipe wordt vormgegeven door niet meer alle subsidieontvangers in alle gevallen te belasten met verantwoordingen, rapportages en controles. De aandacht in de uitvoering is verschoven naar de risicogebieden en -groepen, en naar de uitzonderingen. Dit betekent ook meer eigen verantwoordelijkheid van de subsidieontvanger. Werken vanuit vertrouwen betekent dat een zeker risico dat de prestatie niet of niet geheel conform de aan de subsidie verbonden verplichtingen wordt uitgevoerd wordt geaccepteerd. Om op verantwoorde wijze een deel van de huidige sturing los te kunnen laten, moet aan randvoorwaarden worden voldaan om misbruik te voorkomen. Deze randvoorwaarden worden verankerd in beleid om misbruik te voorkomen, waar risicomanagement, strikte handhaving en registratie van misbruik deel van uitmaken.

In het PS Protocol verbonden partijen is vastgelegd hoe de risicoanalyse van verbonden partijen plaatsvindt. Per verbonden partij wordt op basis van een risicoanalyse beoordeeld hoeveel risico er wordt gelopen. De analyse toetst op basis van een vragenlijst op een viertal belangen; politiek/bestuurlijk, financieel, publiek en omgeving. Verbonden partijen lopen sterk uiteen in (financiële) omvang en vorm. Hierdoor variëren ook de bestuurlijke belangen en risico’s sterk. Op basis van de puntenscore verkregen uit de risicoanalyse wordt de verbonden partij gekoppeld aan een van de drie risicoprofielen; laag (groen), gemiddeld (oranje) en hoog (rood). Alle risicoprofielen samen worden weergegeven in de risicokaart. Deze kaart geeft in één oogopslag weer hoe de verbonden partijen zich tot elkaar verhouden en waarbij het hoogste risico wordt gelopen. Jaarlijks wordt aan de hand van de jaarrekening van de verbonden partij de verbonden partij opnieuw beoordeeld.