| Organisatie | Noaberkracht Dinkelland Tubbergen |
|---|---|
| Organisatietype | Regionaal samenwerkingsorgaan |
| Officiële naam regeling | Besluit van het bestuur van bedrijfsvoeringsorganisatie Noaberkracht Dinkelland Tubbergen houdende regels omtrent het integraal risicomanagement en weerstandsvermogen |
| Citeertitel | Kadernota Integraal risicomanagement en weerstandsvermogen |
| Vastgesteld door | algemeen bestuur |
| Onderwerp | bestuur en recht |
| Eigen onderwerp |
Geen
Onbekend
Datum inwerkingtreding | Terugwerkende kracht tot en met | Datum uitwerkingtreding | Betreft | Datum ondertekening Bron bekendmaking | Kenmerk voorstel |
|---|---|---|---|---|---|
| 11-05-2021 | nieuwe regeling | 20-01-2021 |
Bij het besturen van een gemeente of een samenwerkingsverband van gemeenten behoort per definitie het nemen van risico’s. Vooruitgang, innovatie en ambitie kunnen niet bestaan zonder risico’s. Vaak wordt over risico’s gedacht in termen van voorkomen of elimineren. Tot elke prijs ieder risico uitsluiten is echter niet het doel van risicomanagement. Evenmin kunnen risico’s onvoorwaardelijk worden aanvaard. Risicomanagement is noodzakelijk. Het gebrek aan deugdelijk risicomanagement leidt niet zelden tot grote verliezen bij overheden. Maar hoe vergroot je het risicobewustzijn binnen onze organisatie? En hoe maak je onze organisatie als geheel weerbaarder en veerkrachtiger?
Integraal risicomanagement is de nieuwe manier van denken over risico’s, kansen en onzekerheden. Het doel van deze integrale aanpak is het vergroten van het risicobewustzijn van organisatie en bestuur, zodat een goede en verantwoorde balans ontstaat tussen risico’s nemen en risico’s beheersen. Het continu organiseren van aandacht voor en het gesprek over risico’s vormt de basis van deze aanpak. Door regelmatig het gesprek te voeren - zowel op ambtelijk als bestuurlijk niveau - over (strategische) risico’s, ontstaat een gezamenlijk beeld. Niet door te zenden, te vertellen en voor te lichten, maar door te delen, te bespreken en de dialoog aan te gaan. De risicodialoog is een open gesprek met als doel het gezamenlijk bepalen van een constructieve risico-aanpak. Het gesprek en de communicatie over risico’s is een essentieel onderdeel van integraal risicomanagement. Transparantie is hierbij het uitgangspunt.
Deze kadernota beperkt zich niet tot financiële risico’s, maar gaat ook over niet-financiële risico’s zoals bestuurlijke en juridische risico’s, imago- en frauderisico’s. Deze hebben niet (altijd) direct een financiële impact, maar kunnen (op termijn) wel grote gevolgen hebben voor de gemeente. Naast risicomanagement zijn in deze nota ook kaders opgenomen over het weerstandvermogen. Het Besluit Begroting en Verantwoording verplicht gemeenten hun weerstandsvermogen, waarmee financiële tegenvallers worden opgevangen, in kaart te brengen aan de hand van haar risico’s en deze weer te geven in een afzonderlijke paragraaf in zowel de begroting als in de jaarrekening. Om aan deze wettelijke verplichting te kunnen voldoen zien wij daarin een logisch gevolg om risicomanagement verder te professionaliseren. Maar ook inwoners vragen om een meer transparante verantwoording bij de besteding van gemeenschapsgelden.
Met deze kadernota zetten we een belangrijke stap in het versterken van risicomanagement, met als doel het bewust en verantwoord omgaan met risico’s door een open en transparante manier van samenwerken.
Risicomanagement omvat alles wat we doen om risico’s, kansen en onzekerheden in beeld te brengen en te beheersen. Risicomanagement moet onze organisatie in staat stellen doelstellingen optimaal te realiseren.
Dit impliceert prioriteiten stellen en sommige risico’s bewust accepteren. Daartoe is het noodzakelijk gedetailleerd inzicht te hebben in alle risico’s die samenhangen met alle gemeentelijke activiteiten en processen.
De uitdaging is om binnen de gemeentelijke organisatie het risicomanagement niet alleen onbewust onderdeel van ons werkproces te laten zijn maar risico’s en kansen en de wijze waarop we daarmee om willen gaan juist ook expliciet en transparant te betrekken bij de realisatie van onze doelen als ook bij bestuurlijke besluitvorming
Hierbij is een voortdurende balans tussen de systeemwereld en de leefwereld van groot belang.
2.1 Aanleiding en ontwikkelingen
Het ‘beleidskader Risicomanagement 2014’ maakt inzichtelijk hoe we in 2014 invulling wilden geven aan risicomanagement. Het beleid en de uitvoering ervan is echter in beperkte mate tot uiting gekomen. Er zijn stappen vooruit gezet maar er zijn ook concrete verbeterpunten.
Zo benaderen we risico’s nog te eenzijdig vanuit een financieel perspectief; risico’s met impact op imago en doelstellingen worden nog beperkt inzichtelijk gemaakt. Daarnaast is risico-informatie vaak de status quo en ontbreekt het inzicht in de wijzigingen in risico’s en de voortgang van beheersmaatregelen. Als laatste zien we mogelijkheden voor een extra impuls voor het voeren van het goede gesprek over risico’s.
Daarnaast is in 2018 is het programma Ontwikkeling Noaberkracht vastgesteld. Hiermee wordt binnen Noaberkracht voortaan programmatisch invulling gegeven aan organisatieontwikkeling. Het programma Ontwikkeling Noaberkracht is het fundament voor de verbinding tussen de ontwikkelingen in de samenleving, de bestuursstijlen en de ontwikkeling van de ambtelijke organisatie.
Feitelijk werken we vanuit twee werelden namelijk; de systeemwereld en leefwereld. Hierin is de belangrijkste uitdaging binnen de Ontwikkeling Noaberkracht dat we deze twee werelden samenbrengen in wat gemeenten doen, hoe zij dat doen en hoe ze hierin omgaan met de samenleving en de kracht van de samenleving en de inwoners benutten. Kortom: Nevenheid waar het kan, overheid waar het moet. Integraal risicomanagement kan hierin bijdragen door het in balans brengen/houden van deze twee werelden en daardoor een verbetering te bewerkstelligen in geprofessionaliseerde sturing en een verbeterde borging en bestendiging van de organisatie te creëren.
Bovenstaande heeft ertoe geleid dat we met deze nota risicomanagement een aantal subdoelen hebben geformuleerd die we in de periode 2020-2022 willen bereiken:
De doelen hebben met elkaar gemeen dat ze voor sturing en transparantie aan de voorkant zorgen en maken alert en adequaat handelen mogelijk op het moment dat zich een risico voordoet.
2.3 Wat gaan we daarvoor doen?
Om goed invulling te geven aan risicomanagement onderscheiden we een 6-tal concrete onderdelen:
Binnen 2 jaar een zichtbare kwaliteitsslag in het voeren van het juiste gesprek over risico’s op alle niveaus in de organisatie en het maken van expliciete keuzes in het al dan niet aanvaarden van de risico’s (Risk Appetite1)
Om na te gaan of en in welke mate we onze doelen bereiken is een aantal indicatoren opgesteld. We onderscheiden daarbij outputindicatoren waarbij prestaties op een bepaald moment concreet gerealiseerd moeten zijn. Daarnaast halen we op hoe over 2 jaar het gesprek over risicomanagement wordt ervaren en of er duidelijke stappen voorwaarts zijn gezet (outcome).
2.5 Hoe ziet de informatievoorziening eruit?
De planning en control cyclus (P&C-cyclus) is de plek om informatie over risico’s op te nemen. Daarbij richt deze informatie zich vooral op zogeheten TOP-risico’s. Via de begroting en de jaarstukken zijn daarnaast ook alle andere (majeure) risico’s te benaderen en wordt inzichtelijk gemaakt hoe risico’s zich tot elkaar verhouden, wat de kans is dat ze zich voordoen en wat de impact ervan is op imago, doelstellingen en geld. Naast de P&C-documenten is over relevante risico’s ook informatie opgenomen in college- en raadsvoorstellen. Verder wordt daar waar nodig wordt op basis van de actieve informatieplicht de raad tussentijds geïnformeerd.
2.6 Wat gaat het kosten en wat zijn de risico’s?
Risicomanagement is onderdeel van alles wat we doen. De kosten die het met zich mee brengt, zijn daardoor niet als specifiek budget in onze begroting inzichtelijk. Grootste risico bij de uitvoering van deze nota is dat we onvoldoende in staat zijn het risicomanagement met het goede gesprek een impuls te geven. We zullen de voortgang dan ook expliciet monitoren en daar waar nodig bijsturen.
Vanaf 2013 werkt Noaberkracht als één ambtelijke organisatie voor de gemeenten Dinkelland en Tubbergen. De ambtelijke organisatie ‘Noaberkracht Dinkelland Tubbergen’ is een bijzondere organisatie die in een dynamische omgeving werkt. Als bedrijfsvoering organisatie voert Noaberkracht de volledige beleidsontwikkeling en bedrijfsvoering uit voor de gemeenten Dinkelland en Tubbergen en is het een uitdaging om Noaberkracht te blijven ontwikkelen en verbeteren.
In 2018 is het programma Ontwikkeling Noaberkracht vastgesteld. Hiermee wordt binnen Noaberkracht voortaan programmatisch invulling gegeven aan organisatieontwikkeling. Het programma Ontwikkeling Noaberkracht is het fundament voor de verbinding tussen de ontwikkelingen in de samenleving, de bestuursstijlen en de ontwikkeling van de ambtelijke organisatie. De visie van Noaberkracht hierbij is dat er maatwerk wordt geboden in de rol die de gemeenten Dinkelland en Tubbergen nemen. Er wordt bij Noaberkracht uitgegaan van het situationeel innemen van de twee hoofdrollen namelijk; Overheid en Nevenheid.
Feitelijk werken we vanuit twee werelden namelijk de systeemwereld en leefwereld. Hierin is de belangrijkste uitdaging binnen de Ontwikkeling Noaberkracht dat we deze twee werelden samenbrengen in wat gemeenten doen, hoe zij dat doen en hoe ze hierin omgaan met de samenleving en de kracht van de samenleving en de inwoners benutten. Deze manier van werken zijn we de afgelopen jaren met elkaar aangegaan en willen wij voortzetten en verbeteren. Kortom: Nevenheid waar het kan, overheid waar het moet.
Deze toenemende behoefte om in te spelen op vragen en verzoeken uit de samenleving heeft uiteraard impact op de ambtelijke capaciteit, de benodigde competenties, werkprocessen. En op de manier waarop gestuurd wordt en zaken bestendigd en geborgd worden. Dit heeft natuurlijk gevolgen voor de manier van werken en daagt de organisatie uit om door te ontwikkelen. Binnen organisatieontwikkeling zijn hiertoe drie actielijnen uitgewerkt
De samenhang tussen deze organisatiedoelen en het risicomanagement wordt hieronder nader beschreven.
3.2 Samenhang organisatieontwikkeling en risicomanagement
Integraal risicomanagement kan een goede bijdrage leveren in het balans brengen en houden van deze twee werelden.
In de systeemwereld is integraal risicomanagement de nieuwe manier van denken over risico’s, kansen en onzekerheden. Het is een brede invulling van risicomanagement, waarbij niet alleen de (wettelijke) kaders worden gevolgd, maar het risicobewustzijn breder wordt gestimuleerd. Risicomanagement is niet langer een afzonderlijke activiteit, maar maakt integraal deel uit van alle (management)processen.
In de leefwereld is integraal risicomanagement een manier om je doelen te bereiken en betekent dit dat je als gemeente bereid bent écht aan te sluiten bij wat er in de samenleving gebeurt, door maatschappelijke doelen te stellen (MAT en MEP) en te monitoren en te evalueren of deze doelen gerealiseerd worden.
Wij benaderen integraal risicomanagement daarom met een voortdurende balans van deze twee leefwerelden en zien wij risicomanagement als een gestructureerde, expliciete en realistische aanpak om je doelen te verwezenlijken, ondanks of dankzij risico's.
Veelal bestaat het beeld dat het invoeren van risicomanagement een zware (extra) belasting vormt voor de organisatie. Door echter beheersmaatregelen te benoemen en deze uit te voeren voordat risico’s zich voordoen, is de kans groter dat uiteindelijk de doelstellingen worden bereikt. Bovendien zorgt een systeem van risicomanagement ervoor dat risico’s en beheersmaatregelen niet op een willekeurige, maar op een gestructureerde wijze worden geïnventariseerd. Hierdoor zal een completer beeld van risico’s ontstaan en dit zorgt ook voor een deugdelijke implementatie en onderkenning van beheersmaatregelen. De kans om risico’s te missen wordt kleiner door de aandacht voor risico’s en een deugdelijke inventarisatie ervan (Verbeterde borging en bestendiging).
Daarnaast kan, als een organisatie groeit op het gebied van risicomanagement, het worden ingezet als een instrument voor continue verbetering. Dit houdt in dat risicomanagement wordt ingezet om het beleid en de uitvoering van het beleid te verbeteren. Dit wordt gedaan door middel van toezicht, toetsing en feedback. Dit betekent dat het opgestelde beleid tussentijds getoetst wordt door het college. Gaat alles volgens beleid? Zijn er afwijkingen? Zijn de doelstellingen nog haalbaar? Wat is hiervoor nodig? De antwoorden hierop worden teruggekoppeld aan de gemeenteraad. Als het nodig is kunnen er aanpassingen aan het beleid of de uitvoering van het beleid worden gemaakt en voorgesteld of kunnen nog realistischer verwachtingen en inzichten worden geboden. Door deze stappen periodiek te herhalen, ontstaat een proces van continue verbetering en sturing.
(geprofessionaliseerde sturing)
Het proces van integraal risicomanagement is cyclisch en sluit zo veel mogelijk aan op de bestaande budgetcyclus. Bij integraal risicomanagement richt de organisatie zich niet alleen op financiële risico’s, maar juist ook op andere typen risico’s op alle denkbare niveaus. Voorbeelden van niet-financiële risico’s zijn juridische risico’s, imago- en frauderisico’s en het niet realiseren van doelstellingen. Risico’s kunnen dus betrekking hebben op een breed pallet. Het kan gaan om risico’s binnen processen, risico’s van projecten, risico’s in de diverse programma’s en risico’s die van buiten komen. De gemeenten Dinkelland, Tubbergen en de GR Noaberkracht beperken zich daarbij niet alleen tot de eigen organisatie, maar kijkt ook naar de externe omgeving.
3.3 Het begrip risico(management)
Risicomanagement is het effectief en systematisch omgaan met de kansen en bedreigingen die de realisatie van organisatiedoelstellingen kunnen beïnvloeden. Het is gericht op proactief handelen in plaats van reactief2 .
Risicomanagement houdt niet in dat koste wat kost risico’s vermeden moeten worden. Wanneer het bewust accepteren van een risico de meest optimale beheersingsmaatregel is, dan is dit een effectieve vorm van risicobeheersing. Er is sprake van goed risicomanagement wanneer een organisatie zo optimaal mogelijk om kan gaan met de onzekerheden die onderweg voor kunnen komen. Risicomanagement is een periodiek terugkerend proces dat voorafgaand en wordt ingezet bij het realiseren van doelstellingen.
Een risico is een onzekere ongewenste gebeurtenis waardoor het realiseren van de organisatiedoelstellingen en strategie in gevaar komt3. Daarbij is het volgende belangrijk4:
Het doel van het categoriseren van risico’s is dat het een bril is waar men doorheen kan kijken om te zien welke risico’s verbonden kunnen zijn aan het realiseren van het doel
Een risico is een onzekere (interne* of externe*) gebeurtenis die het realiseren van onze doelen kan beïnvloeden. Dit betreft naast de financiële risico’s* ook de niet-financiële risico’s*. |
Vanuit de huidige benadering van risicomanagement is naar voren gekomen dat vooral financiële risico’s in kaart worden gebracht. Niet-financiële risico’s zijn onderbelicht. Reden om dit ook expliciet in de definitie op te nemen.
Bij interne risico’s gaat het veelal om risico’s die samenhangen met bestuurlijk of ambtelijk handelen, naleven van wet- en regelgeving (juridische risico’s) of bijvoorbeeld de kwaliteit en betrouwbaarheid van automatisering-systemen. Dit zijn risico’s die in belangrijke mate beheersbaar zijn.
Bij externe risico’s gaat het om risico’s die van buitenaf komen en die (veelal) beperkt beheersbaar zijn. Het gaat bijvoorbeeld om conjunctuurschommelingen, gewijzigde wet- en regelgeving en weersomstandigheden.
Bij financiële risico’s gaat het om risico’s waarbij het financiële effect ervan het meest prominente gevolg is. Het gaat dan niet alleen om risico’s die betrekking hebben op financiën (renterisico, debiteurenrisico, etc.) maar dit kunnen ook onderwerpen zijn waar bijvoorbeeld ook juridische risico’s spelen.
Bij niet-financiële risico’s gaat het om risico’s waarbij juist het niet-financiële effect ervan het meeste prominente gevolg is. Het gaat dan om risico’s met een impact op de doelstellingen en/of het imago van onze gemeente. Voorbeelden daarvan zijn bestuurlijke, juridische en frauderisico.
3.4 Wat levert Integraal risicomanagement ons op?
3.5 Wat zijn de randvoorwaarden voor integraal risicomanagement
Om risicomanagement succesvol te laten zijn binnen de gemeenten en Noaberkracht is het belangrijk dat aan de onderstaande randvoorwaarden wordt voldaan:
3.6 Relevante wetgeving en beleidskaders
Wettelijke verplichting en In Control Statement
Gemeenten zijn op grond van artikel 11 van het Besluit Begroting en Verantwoording (BBV) wettelijk verplicht om in De paragraaf betreffende het weerstandsvermogen en risicobeheersing van de begroting en de jaarrekening een inventarisatie van de weerstandscapaciteit en de risico’s weer te geven en inzicht te geven in de financiële vertaling van de risico’s naar het zogeheten benodigd weerstandsvermogen. Dit betreft het bedrag dat nodig is om risico’s op te kunnen vangen.
Vanuit het In Control Statement moeten gemeenten en provincies vanaf boekjaar 2021 een rechtmatigheidsverantwoording afleggen in hun jaarstukken. Deze verantwoording vervangt de huidige rechtmatigheidsverklaring van de accountant.
Het staat gemeenten verder vrij om zelf te bepalen hoe zij invulling wil geven aan risicomanagement en welke ambities zij daarin nastreven. Als gemeenten zijn we van mening dat we het aan onszelf en de kernen verplicht zijn om een adequaat systeem van risicomanagement te hebben. De afgelopen jaren hebben we hier via onderstaande kaders invulling aan gegeven. Het nu voorliggende kader geeft inzicht in de ambitie en de uitvoering voor de komende jaren.
Naast de geldende wettelijke verplichtingen zijn er lokaal ook een tweetal documenten met betrekking tot risicomanagement vastgesteld. Het betreft de navolgende twee documenten:
Met de vaststelling van het nieuwe kader komen deze twee documenten te vervallen.
In 2014 is een kader voor risicomanagement vastgesteld waarmee in de afgelopen jaren stappen vooruit zijn gezet. We zien dat risicomanagement steeds meer onderdeel is van onze processen, van verbonden partijen (sinds 2017) en er is een actueel overzicht beschikbaar van frauderisico’s (sinds 2018).
Maar we hebben ook inzichtelijk dat er op onderdelen verbetering nodig is.
In 2018 is het programma Ontwikkeling Noaberkracht vastgesteld. Hiermee wordt binnen Noaberkracht voortaan programmatisch invulling gegeven aan organisatieontwikkeling.
De belangrijkste uitdaging binnen de Ontwikkeling Noaberkracht is het samenbrengen van twee werelden in wat wij als gemeente doen, hoe wij dat doen en hoe we hierin omgaan met de samenleving en de kracht van de samenleving en onze inwoners aan benutten. Het gaat hierbij erom de juiste rol kiezen voor ieder vraagstuk of opgave: maatwerk in rolneming dus.
Enerzijds moeten we sterk blijven in het uitvoeren van de rol van overheid maar daarnaast meer bekwaam worden in het denken en handelen vanuit nevenheid. Nevenheid moet uiteindelijk ook als werkprincipe verankerd zijn in onze organisatie. Zowel de ambtenaar als de bestuurder moet leren omdenken, van beleidsmatig naar procesmatig, van naast verticaal ook naar horizontaal.
Geprofessionaliseerde sturing: Het moet vanzelfsprekender zijn om elkaar aan te spreken en verantwoording af te leggen over hetgeen we doen en waarom we het doen. Om te kunnen evalueren en om van te leren. Op individueel niveau, op team niveau en op management niveau. Structuur in gesprekken en heldere afspraken over (reflecteren op) onder andere doelen, knelpunten en verbeterpunten zijn hiervoor een randvoorwaarde.
Borging en bestendiging: Het is van belang dat medewerkers op een passende manier invulling geven aan taken, verantwoordelijkheden en bevoegdheden. Binnen de organisatie is duidelijk wie waarvoor verantwoordelijk is en wie waaraan uitvoering geeft, daar wordt vervolgens ook naar gehandeld en op gestuurd. We maken keuzes en houden focus op inspanningen. Hierdoor verkrijgen we meer grip en kunnen we effectiever werken.
Uit bovenstaande blijkt dat we niet alleen dat de basis op orde is maar we willen deze verstevigen en de mogelijkheden voor verdere doorontwikkeling oppakken. In dit hoofdstuk wordt ingegaan op wat we met risicomanagement willen bereiken. We geven inzicht in de ambitie die we hebben en welke specifieke doelstellingen we in de komende periode willen bereiken.
In de onderstaande figuur worden vier volwassenheidsfasen van risicomanagement weergegeven.
Het risicomanagement van de gemeenten Dinkelland, Tubbergen en Noaberkracht bevindt zich op dit moment deels in fase 2 en deels in fase 3. We voldoen aan de wettelijke verplichting, maar het risicomanagement maakt nog niet integraal deel uit van de besluitvormingsprocessen.
Als gemeente Tubbergen, Dinkelland en Noaberkracht bevinden we ons nu tussen stadium 2 en 3 en willen we over 2 jaar minimaal fase 3 hebben bereikt. Om deze stap te maken, zetten we de komende periode expliciet in op een 3-tal ontwikkelpunten:
Daarnaast willen we het komende jaar mogelijkheden voor doorontwikkeling oppakken. We zetten daarbij onder andere in op de positieve benadering die Risk Appetite aan risicomanagement geeft. Een toelichting op dit begrip is terug te vinden in paragraaf 5.8.
In de vorige paragraaf hebben we aangegeven wat onze ambitie is. In deze paragraaf staat de hoofddoelstelling (het bestuurlijk belang van risicomanagement) die tezamen met de subdoelstellingen concreet aan onze ambitie invulling moeten gaan geven. Deze subdoelstellingen kennen een directe link met de ambitie om van fase 2 naar fase 3 te komen.
In het volgende hoofdstuk wordt aangegeven wat we concreet gaan doen om bovenstaande doelen te bereiken.
Om goed invulling aan risicomanagement te kunnen geven, onderscheiden we een 5-tal essentiële onderdelen die in samenhang een goede invulling van risicomanagement mogelijk moeten maken.
De uitwerking hiervan richt zich op de prestaties die aanvullend voor de komende periode zijn benoemd om de gestelde subdoelen uit hoofdstuk 4 te bereiken. Al hetgeen we in de basis doen en hebben georganiseerd en daarmee ‘regulier’ van aard is, treft u aan in de bijlagen A t/m C. In deze bijlagen is specifiek aangegeven welke wijzigingen we gaan doorvoeren. Tenslotte wordt in paragraaf 5.8 het begrip Risk-Appetite geïntroduceerd en wordt kort ingegaan op de invulling die we daar de komende periode aan willen geven.
5.2 Het reguliere risicomanagementproces
Om risicomanagement goed in te kunnen vullen, is het wenselijk dat voor iedereen duidelijk is hoe het proces van risicomanagement is vormgegeven en welke stappen we daarin onderscheiden. In figuur 5.2 zijn deze inzichtelijk gemaakt. Deze stappen zijn weliswaar volgordelijk maar in de praktijk zullen sommige stappen veelvuldiger voorkomen dan anderen.
5.3 Heldere rollen en verantwoordelijkheden
Het is van belang dat de rollen en verantwoordelijkheden rondom risico’s duidelijk en helder zijn belegd. In bijlage B is inzichtelijk gemaakt hoe we dat in binnen onze organisatie vorm gaan geven.
5.4 We voeren het goede gesprek
De basis voor risicomanagement ligt in het goede gesprek (de dialoog) dat over risico’s wordt gevoerd tussen de verantwoordelijke en de risicomanager. Een dialoog die gevoerd kan worden door verantwoordelijke op alle niveaus in onze organisatie. Van belang is dat daarbij expliciet over risico’s wordt gesproken en dat het brede pallet aan risico’s (financieel en niet-financieel) aan bod komt. Het gesprek voeren over risico’s is lastig, maar belangrijker dan welk instrument dan ook. Risicobewustzijn is geen gevolg van de structuur maar van de cultuur.
We realiseren ons dat het veranderen en beïnvloeden van een cultuur niet eenvoudig is. Toch hebben we ons wel een beeld gevormd van een aantal aspecten die bij deze cultuur een rol spelen. Deze luiden als volgt:
Het is van belang dat risicomanagement onderdeel is van de dagelijkse gang van zaken. Juist in een complexe gemeentelijke omgeving is het van belang dat alert wordt gereageerd op kansen en risico’s van nieuwe ontwikkelingen. Dit geldt voor de risicomanagers op de werkvloer (budgethouders en projectleiders), maar ook voor de risicomanagers in het management (directie, programmaregisseurs, teamcoaches en teamleiders). Ook de (strategisch) financieel adviseurs dienen alert te zijn op financiële risico’s en de risico’s bespreekbaar te maken. Hoe deze gesprekken plaats moeten vinden, laat zich niet strak regelen, dat is maatwerk. Wel is het van belang dat ze expliciet worden gevoerd en dat de risicomanagers en het management daarin voldoende wordt gefaciliteerd. Enerzijds door het instrumentarium maar vooral ook door de kwaliteit en vaardigheden van collegae om via het juiste gesprek de belangrijkste informatie over risico’s boven tafel te krijgen.
5.5 We gebruiken een faciliterend instrumentarium
Een instrumentarium is geen doel op zich. Het moet faciliteren om het goede gesprek te voeren en risico’s op een uniforme wijze inzichtelijk te maken. Zo maken we in onze organisatie gebruik van het risicosysteem Fully In Control om risico’s te registreren en maken we aan de hand van de specifieke rapportage functionaliteit het weerstandsvermogen inzichtelijk door via de ‘Monte Carlo’ systematiek (statisch) in kaart te brengen welke risico’s hoog scoren op financieel gevolg. Deze systematiek is echter onvolledig doordat wij hierbij nalaten om risico’s met een hoge score op impact op imago en doelstellingen niet in kaart te brengen.
Om hierin de gewenste volledigheid te garanderen zullen wij ons instrumentarium moeten aanpassen en gevolgcategorieën op Imago en realisatie van doelstellingen moeten toevoegen.
Alleen op die manier komen wij tot een volledige set aan risico’s waarbij wij expliciet de zogeheten TOP-risico’s kunnen benoemen. De wijze waarop invulling wordt gegeven aan dit instrumentarium wordt expliciet toegelicht en gemonitord via onze planning en control-cyclus. In bijlage C wordt uitvoerig ingegaan op het instrumentarium en de aanpassing/uitbreiding hiervan.
5.6 Ontwikkelpunten Risico’s 2020-2022
Vanuit het verleden is naar voren gekomen dat het verloop van risico’s vaak niet inzichtelijk is en dat met name alleen de financiële risico’s inzichtelijk worden gemaakt. Om hierin een verbeterslag te maken, zijn een 2-tal concrete verbeterpunten geformuleerd:
5.7 Er is sprake van een goede en tijdige informatievoorziening
Informatie over de voortgang van risico’s wordt primair ontsloten via de reguliere planning en control cyclus. Daarnaast is risico-informatie terug te vinden in college- en raadsvoorstellen en kan op basis van de actieve informatieplicht de raad tussentijds worden geïnformeerd. Hoofdstuk 6 is volledig gewijd aan de wijze waarop we de informatievoorziening omtrent risico’s gaan vormgeven.
5.8 We gaan in gesprek over Risk appetite
In hoofdstuk vier hebben we in het laatste subdoel de term ‘Risk Appetite’ genoemd. In deze paragraaf geven we inzicht in wat we met deze term bedoelen en welke invulling we eraan willen geven.
Binnen gemeentelijke organisaties wordt vaak primair de vraag gesteld welke risico’s er zijn die het bereiken van de doelstellingen in de weg staan? Daardoor heeft risicomanagement vaak een negatieve bijklank. Als we spreken over Risk Appetite (= risicobereidheid) dan wordt er gesproken in termen van mogelijkheden in plaats van onmogelijkheden. Dit startend bij de vraag welke (beleids)doelen we willen bereiken en vervolgens de vraag welke soorten risico’s (en risico-omvang) we daarvoor bereid zijn te accepteren.
Risicomanagement is daarmee niet alleen een instrument om risico’s in beeld te brengen en te beheersen maar juist een instrument dat kan helpen bewust stil te staan bij wat we aan risico’s acceptabel vinden. Daarbij komt ook de vraag aan de orde of we kansen laten liggen door (te) voorzichtig met risico’s om te gaan.
Kern van Risk Appetite is dat een organisatie zelf bewust bepaald welk soort risico’s en tot welk bedrag zij bereid is op het totaal en op onderdelen (programma’s/beleidsvelden) te accepteren. Het antwoord op die vraag is afhankelijk van de ambities, de doelstellingen en de durf die de gemeenteraad, het college en het management heeft. Om dat in beeld te krijgen zijn discussies nodig. Discussies over de vraag welk risicoprofiel past bij het ambitieniveau van de gemeenten en Noaberkracht. Een “slaperige provinciegemeente” heeft bijvoorbeeld een lager risicoprofiel dan een gemeente die toeristen wil aantrekken, daarvoor evenementen organiseert en daarbij bewust risico’s neemt. Dit heeft uiteraard ook invloed op de benodigde reservepositie. Zo zal een gemeente die ambitieus is en daaraan een hoger risicoprofiel koppelt, risico’s willen nemen en daarom dan ook meer reserves moeten aanhouden.
Bovenstaande vraagt om een benadering van risicomanagement met een 2-tal sporen:
5.9 Ontwikkelpunten Risk Appetite 2020-2022
Een andere benadering van risicomanagement is niet zomaar gerealiseerd. Dat vraagt inzicht in de voor- en nadelen ervan en tijd om hier ook een slag in te slaan. We hebben een 2-tal ontwikkelpunten geformuleerd.
6. HOE GAAN WE MONITOREN EN EVALUEREN?
Dit hoofdstuk geeft inzicht in de wijze waarop we het in deze nota vastgelegde beleid willen gaan monitoren. Hoe weten we of we met onze doelen op koers liggen? En hoe monitoren we of de prestaties zijn gehaald? Daarnaast zullen we ingaan op de wijze en het moment van evaluatie.
Op koers liggen, houdt in dat de doelen binnen de daarvoor gestelde termijnen zijn gehaald of te halen zijn. Om dat voor de in hoofdstuk 4 genoemde doelen te bepalen, hebben we een aantal indicatoren opgesteld.
Of (de ondersteuning van) gesprekken over risicomanagement goed wordt ingevuld, laat zich lastig objectief en “hard” meten. Een kengetal met het aantal gesprekken zegt bijvoorbeeld niets. Wel is het mogelijk via een enquête een beeld te krijgen van hoe bestuurlijk en ambtelijk deze invulling wordt beleefd. We doen dan aan de hand van de volgende indicatoren:
Een aantal zaken kunnen we ‘hard’ meten. Dit doen we door de inhoud en de kwaliteit van de informatie over risico’s in onze Planning en Control documenten te beoordelen.
Naast bovenstaande zal de concerncontroller gedurende het jaar nagaan of het risicomanagement conform het beleid wordt ingevuld. Hij rapporteert daar minimaal eens per jaar over tijdens de reguliere P&C Cyclus.
6.3 Hoe en wanneer gaan we evalueren?
Aangezien we in deze nota een aantal concrete indicatoren hebben benoemd en deze gaan monitoren kiezen we nu voor de volgende vorm met bijbehorend tijdspad:
De (tussentijdse) evaluatie zal in ieder geval betrekking hebben op de volgende punten:
Op basis van de uitkomsten van de monitoring bepalen we of er een uitgebreide evaluatie noodzakelijk is. Zijn de uitkomsten positief dan volstaat een herhaling van de opzet van de tussenevaluatie.
7. HOE ZIET DE INFORMATIEVOORZIENING ERUIT?
Naast het goede gesprek over risico’s en een ondersteunend instrumentarium, is een goede communicatie en rapportage over risico’s onontbeerlijk. Het College dient tijdig over (wijzigingen in) risico’s en de voortgang van beheersmaatregelen op de hoogte te worden gebracht en informeert de raad hierover. We zetten daarbij in op een bredere blik op risico’s: juist ook de niet-financiële risico’s zijn bestuurlijk relevant. Deze bredere blik moet uiteindelijk ook tot uiting komen in de informatievoorziening. In dit hoofdstuk wordt uiteengezet hoe we deze informatievoorziening in onze gemeenten vormgeven.
7.2 Beleidscyclus versterken: Informatie over risico’s en risicoprofiel
Versterken van de beleidscyclus
Door versterking van de beleidscyclus komen we tot een beter beheer, inzicht in en sturing op
het realiseren van onze doelen. Om dit te bereiken is het van belang om de beleidscyclus van onderop te verbeteren waardoor beter inzicht in en sturing op de doeltreffendheid van ons beleid wordt bereikt.
Concrete doelen daarbij zijn onder meer:
College en raad krijgen jaarlijks vele voorstellen voorgelegd. Onderdeel daarvan is een gedegen risicoparagraaf. Daar waar het de inschatting is dat het tevens een TOP-risico betreft (zie bijlage C) dan zal dit expliciet in het voorstel aangegeven worden en dient een separaat risico-blad als bijlage te zijn bijgevoegd aan de voorstellen.
Directie- en bestuursadvies/ College- en raadsvoorstel
Bij Directie- en bestuursadvies/ College- en raadsvoorstel nemen we standaard een risicoparagraaf op (zaaksysteem).
Nu is er alleen de mogelijkheid om het onderdeel optioneel toe te voegen in het voorstel, echter komt dit nog weinig voor. De hierboven genoemde documenten betreffen documenten waarbij college en raad de koers bepalen en besluiten nemen en daarbij inzicht moeten hebben in de risico’s die ermee gemoeid zijn. Over de voortgang van deze risico’s en eventueel nieuwe risico’s die zich voordoen, wordt de raad primair geïnformeerd via de planning en control cyclus
Voor informatie over de risico’s geldt dat de P&C-cyclus dé cyclus is waarin het college de raad hierover op hoofdlijnen rapporteert. “Op hoofdlijnen” betekent dat in de P&C-documenten de toelichting op de risico’s (opgenomen bij de betreffende begrotingsprogramma’s) zich in principe beperkt tot de TOP-risico’s. De overige relevante (niet-TOP) risico’s worden niet expliciet in de P&C documenten toegelicht, maar zijn opgenomen in het daarvoor bestemde systeem Fully In Control. De achterliggende actuele risico-uitwerking van de TOP-risico’s zijn in te zien bij de afdeling Concern Control.
Mochten er majeure wijzigingen in TOP-risico’s zijn of er zich nieuwe TOP-risico’s voordoen die niet kunnen wachten tot het eerstvolgende P&C-document, dan zal het college de raad hierover tussentijds per brief informeren. Bij het onderkennen van een (nieuw) TOP risico wordt onmiddellijk een risico-format opgesteld
Het komt voor dat risico-informatie niet openbaar gedeeld kan worden, omdat dit de belangen (bijv.
onderhandelingspositie) van de gemeente zou kunnen schaden. Dit soort informatie kan dan ook niet in de openbare stukken worden opgenomen. In dat geval zullen we gebruik maken van een niet openbare bijlage.
7.3 Informatievoorziening risicoprofiel, weerstandscapaciteit en weerstandsvermogen
Naast de informatie over de TOP-risico’s (bij de inspanningen/programma’s en projecten) wordt in de begroting en de jaarrekening via de paragraaf weerstandsvermogen en risicobeheersing inzicht gegeven in het overall beeld. Hoe ziet ons risicoprofiel eruit (zie C3 in bijlage C) en zijn we als gemeente in staat om deze risico’s financieel op te kunnen vangen (zie C4 in bijlage C)?
7.4 Informatie over doelrealisatie
In hoofdstuk 6 is aangegeven op welke wijze we de doelrealisatie willen gaan monitoren. Via de paragraaf weerstandsvermogen informeren we de raad over de voortgang hierin.
Bij Risicomanagement ligt de nadruk op het goede brede gesprek, gefaciliteerd door een goed instrumentarium en gevolgd door een tijdige en heldere informatievoorziening. Als we dit vertalen naar kosten dan gaat het vooral om inzet van ambtelijke uren. Deze kosten kunnen we niet expliciet in beeld brengen. De uitvoering van risicomanagement vindt namelijk van laag tot hoog in onze organisatie plaats als onderdeel van het reguliere werk.
Bovenstaande neemt niet weg dat we kritisch zijn op de kosten die bijvoorbeeld het invullen van het instrumentarium met zich mee kan brengen. Door kritisch te zijn op het beleid (schieten we ons doel niet voorbij) en de inzet goed te monitoren, denken we dat we de kosten van risicomanagement kunnen beperken tot datgene wat noodzakelijk is.
Kijken we naar de speerpunten die we hebben benoemd dan betekent dit op onderdelen extra ambtelijke en externe inzet. Inzet die we binnen de bestaande budgetten en formatie kunnen opvangen.
Risicomanagement valt en staat met de cultuur van de organisatie en de mate waarin op een open wijze het goede gesprek over risico’s kan worden gevoerd. Het risico dat we lopen is dat we niet in staat blijken om de gewenste verbeterslag te realiseren. Door de komende periode te monitoren hoe de voortgang is, denken we tijdig te kunnen bijsturen indien dat noodzakelijk is.
BIJLAGE A: HET REGULIERE RISICOMANAGEMENTPROCES
Risicomanagement is een continu proces. Het nadenken over en beoordelen van mogelijke risico’s en de implementatie en optimalisatie van beheersmaatregelen moeten onderdeel zijn van de dagelijkse praktijk van de organisatie. Twee keer per jaar wordt het risicoprofiel geactualiseerd. Dit vindt zijn weerslag in de jaarrekening en de programmabegroting, in de paragraaf Weerstandsvermogen en risicobeheersing. Hiertoe worden de onderstaande stappen doorlopen.
Hiermee omvat het risicomanagementproces alle onderdelen die nodig zijn om risico’s op een gedegen en gestructureerde wijze in kaart te brengen en te volgen. Hieronder lichten we de verschillende stappen beknopt toe.
Kaders en doelstellingen: waarover gaat het en wat willen we bereiken?
In deze stap wordt gekeken naar interne en externe succesfactoren die van belang zijn voor de risicoanalyse. De omgeving waarin de gemeenten Dinkelland, Tubbergen en Noaberkracht opereren verandert en de organisatie verandert mee. Deze context is van invloed op de risico’s die de organisatie loopt. Het gaat om vragen als: welke doelstellingen wil de organisatie behalen? Waar staat de organisatie nu? Wat is de maatschappelijke en economische omgeving? Hoeveel risico zijn we bereid te nemen? Het inzichtelijk maken van deze context maakt het eenvoudiger om in de volgende stap de risico’s te identificeren en te kwantificeren.
1.Identificeren: wat kan ons overkomen?
Deze stap heeft tot doel een beeld te krijgen van de gebeurtenissen die het behalen van doelen kunnen belemmeren of vertragen. Het gaat erom inzicht te krijgen in een zo breed mogelijk spectrum aan risico’s (in- en extern en financieel en niet-financieel) zoals deze in paragraaf 3.1 zijn toegelicht. De doelstellingen en processen moeten daarom vanuit meerdere invalshoeken worden bekeken. Stap één is het op gestructureerde wijze identificeren van mogelijke toekomstige gebeurtenissen die van invloed kunnen zijn op het behalen van doelstellingen, het duidelijk formuleren van deze gebeurtenissen in de vorm van risico’s en het vaststellen van de oorzaken van de risico’s. Hiertoe wordt een risicodialoog georganiseerd. Het management is verantwoordelijk voor het doen van voorstellen ten aanzien van de beheersing van specifieke risico’s, de implementatie van beheersmaatregelen en het rapporteren over de ontwikkeling van risico’s aan het college.
2.Analyseren: wat zijn onze grootste risico’s?
De volgende stap is het nagaan van het mogelijke effect (risico) van de investeringen en activiteiten op de organisatie. Niet alle geïdentificeerde risico’s hebben dezelfde impact op de doelstellingen en dezelfde kans van optreden. We maken een inschatting van de kans dat een risico zich voordoet en bepalen de impact van het risico. Bij laatstgenoemde maken we onderscheid tussen de financiële impact van het risico en de impact van het risico op de doelstellingen en het imago. Daarbij is het belangrijk om in een breed gesprek tot één gedragen beeld van de risico’s en de kwantificering te komen. Een analyse op de kans op en de gevolgen bij optreden, maakt onderdeel uit van de risicodialoog. Omdat er grote verschillen in risicoperceptie kunnen bestaan, is het gezamenlijk in beeld brengen en bespreken van deze verschillen een van de grootste voordelen van de risicodialoog. De risicodialoog heeft tot doel te komen tot één gedragen beeld van de risico’s.
Het instrumentarium (zie bijlage C) ondersteunt dit proces. Door de juiste rolneming (zie bijlage B) wordt er daarbij voor gezorgd dat in de gesprekken ook voldoende ‘tegendenkkracht’ is georganiseerd. Afhankelijk van de kans en de impact kan er sprake zijn van een TOP-risico (zie bijlage C). Dit zijn risico’s meteen forse impact (financieel en/of imago en doelstelling), die daarom qua gesprek, beheersing en rapportage extra aandacht krijgen.
3.Beoordelen: hoe kunnen we onze risico’s beheersen?
Wanneer de belangrijkste risico’s in kaart zijn gebracht, moet worden nagedacht over de manier waarop we ermee om willen gaan. Uitgangspunt daarbij is niet om tegen iedere prijs alle risico’s te beheersen, ook accepteren of vermijden zijn mogelijkheden. Door het risico in te delen op basis van de mate van beheersbaarheid wordt inzichtelijk of beheersmaatregelen wenselijk is. Daarbij bekijken we uiteraard of de kosten en belasting van de organisatie van een maatregel in verhouding staan tot hetgeen ermee wordt bereikt. De beheersmaatregelen leggen we vast in ons instrumentarium (bijlage C).
4.Maatregelen bepalen: hoe nemen we de beheersing ter hand?
Nadat de beheerstrategie is bepaald, moeten de beheersmaatregelen worden geïmplementeerd. Hierin wordt aangegeven wat de gekozen maatregelen zijn om een risico te beheersen. Er zijn vier generieke acties mogelijk: vermijden, overdragen, beheersen, accepteren. Degene die hiervoor verantwoordelijk is (zie figuur B.1 in bijlage B) zet de maatregelen uit in de tijd, rapporteert over de voortgang en het behaalde effect van de maatregelen. De Medewerker Concern Control adviseert hierbij maar vervult ook een rol om de voortgang te monitoren en waar nodig te agenderen.
De vijfde stap is het uitvoeren van de geselecteerde beheersmaatregelen. Deze stap kan plaatsvinden wanneer college van B&W een besluit heeft genomen.
6.Risico’s communiceren, monitoren en resultaten verbeteren (evaluatie)
De laatste stap van de cyclus bestaat uit het communiceren over de oorzaak, aard en omvang van risico’s, de effectiviteit van de beheersmaatregelen en de eventuele veranderingen daarin. Daarbij gaat het om zowel een tussentijdse evaluatie van de beheersmaatregelen (moeten we bijsturen), maar ook om de evaluatie van risico’s die zijn vervallen. Heeft het proces van risicomanagement bij deze risico’s goed gewerkt? Wat kunnen wij daarvan leren voor de nog lopende en nieuwe trajecten? Kortom: in deze stap evalueren we het proces en de uitkomsten daarvan, wordt er bijgestuurd en start het cyclisch proces van het risicomanagement opnieuw.
Hoewel toezicht en toetsing een belangrijk onderdeel is van risicomanagement, wordt deze toch buiten de zes stappen genoemd. Dit onderdeel valt buiten de cyclus, omdat het een continuüm is: het doel van continue toezicht is om tijdig (veranderingen in) risico’s te signaleren, adequate maatregelen te kunnen treffen en waar nodig bij te sturen. Uitgangspunt hierbij is dat hoe eerder een (verandering in een) risico wordt gesignaleerd, hoe beter de gevolgen te beheersen zijn. Gedurende het jaar wordt op verschillende momenten verantwoording afgelegd over de resultaten waar het college van B&W integraal verantwoordelijk voor is. Hierbij wordt aangegeven welke doelen zijn behaald, welke niet en waarom. De resultaten van deze verantwoording zijn input voor nieuwe kaderstelling en strategie.
BIJLAGE B: HELDERE ROLLEN EN VERANTWOORDELIJKHEDEN
Verantwoordelijkheid op hoofdlijnen
De Colleges van beide gemeenten zijn bestuurlijk verantwoordelijk voor de realisatie van de gemeentelijke doelen en het managen van de risico’s die daarmee gemoeid zijn. De directie bedrijfsorganisatie Noaberkracht, ondersteund door de (onafhankelijke) concerncontroller, draagt in het verlengde daarvan de ambtelijke verantwoordelijkheid op concernniveau. De teamcoaches dragen de verantwoordelijkheid op het niveau van de organisatieonderdelen. Dit werkt door tot op het niveau van teamleider en een individuele medewerker. Daar waar het gaat om inspanningen en projecten kennen we de programmaregisseur en opdrachtgever als eindverantwoordelijke voor het managen van risico’s en is de projectleider die er op het niveau daaronder invulling aan geeft. Op al deze niveaus zijn de relevante risico’s inzichtelijk te maken en kunnen waar mogelijk en nodig beheersmaatregelen worden geïmplementeerd.
Essentieel is dat de rollen en verantwoordelijkheden goed zijn beschreven en bij een ieder bekend en gedragen worden. Hieronder is aan de hand van het 3-lines of defence model op hoofdlijnen inzichtelijk gemaakt wat de rollen en verantwoordelijkheden zijn en wat de samenhang is binnen en tussen de 3 lijnen. Het 3-lines-ofdefence model is, zoals de naam het al zegt, bedoeld om via drie lijnen te borgen dat risico’s in beeld komen, worden beheerst en daarover het goede gesprek wordt gevoerd.
Eerste lijn (niveau organisatieonderdeel)
De eerste lijn kent een 2-deling. Het betreft zowel het niveau van de organisatieonderdelen (de lijn) als het niveau van de programma’s/ambities en projecten. De verantwoordelijkheid voor een goede invulling van risicomanagement ligt primair in deze 1e lijn. Daar waar risico’s zich voordoen (vakgebied in de lijn of bij het programma/ambitie of project) is degene die verantwoordelijk is voor het vakgebied of programma/ambitie of project op dat moment de zogeheten risicomanager. Hij/zij is primair verantwoordelijk om het risico in beeld te brengen en te beheersen. Dit ligt op lijnniveau veelal op het niveau van een individuele medewerker, of teamcoach. Teamcoaches zijn verantwoordelijk voor de beheersing van de risico’s en de invulling van het risicomanagement op respectievelijk team- en organisatieonderdeelniveau. Daar waar het gaat om programma en projecten ligt dit veelal op het niveau van de programmaregisseur en opdrachtgever. De projectleider en opdrachtgever zijn samen verantwoordelijk voor de beheersing van de risico’s en de invulling van het risicomanagement op projectniveau.
In de tweede lijn is zowel de adviserende rol richting de organisatieonderdelen als de kritische blik (de tegenrol) georganiseerd. De afdeling Concern Control adviseert de eenheden bij de toepassing van het instrumentarium, dragen het beleid uit en zorgen voor de kwaliteitsbewaking, de uniforme vastlegging van risico’s en een uniforme informatievoorziening erover richting management, college en raad. Ze hebben een belangrijke rol in het initiëren en het voeren van het expliciete gesprek over risico’s. Daarin faciliteren ze niet alleen maar hebben ze ook duidelijk een rol om ‘tegen te denken’ en daarmee het gehele proces van risicomanagement scherpte te geven. Binnen deze lijn wordt ook (in samenspraak met de financiële afdelingen) de vertaling van de risico’s naar het benodigde weerstandsvermogen gemaakt.
De derde lijn is bedoeld als ‘sluitstuk’. Binnen deze lijn wordt het risicomanagement als geheel beoordeeld maar wordt ook periodiek op de TOP-risico’s ingezoomd. De concerncontroller toets dat risico’s niet alleen bij collegevoorstellen en in P&C documenten die op de tafel van het bestuur en colleges komen, maar controleert en stelt daarnaast vast dat gedurende het jaar het bestuur en de colleges op specifieke TOP-risico dossiers worden meegenomen in waar we staan. Dat biedt input voor een goed gesprek om te bepalen of we daadwerkelijk nog op koers liggen. De concerncontroller heeft hier een initiërende en agenderende rol. De concrete invulling van (de voorbereiding van) het gesprek is de verantwoordelijkheid van de teamcoaches of opdrachtgever van respectievelijk het vakgebied of project waar het risico op van toepassing is.
BIJLAGE C: WE GEBRUIKEN EEN FACILITEREND INSTRUMENTARIUM
Het instrumentarium faciliteert het goede gesprek. Niets meer en niets minder. Het is bedoeld om risico’s eenduidig te identificeren, te classificeren en vast te leggen. Het instrumentarium wordt in dit beleidskader geïntroduceerd als nieuwe werkwijze. De werking van het instrumentarium is hieronder benoemd. De volgende onderdelen zijn in deze bijlage uitgewerkt:
C.1 De spelregels voor gebruik van het instrumentarium
C.2 De wijze van vastlegging van risico’s
C.3 Bepaling van en inzicht in het risicoprofiel
C.4 Bepaling van en inzicht in weerstandsvermogen
C.5 Bepaling van en inzicht risico’s Grondbedrijf
C.6 Bepaling van en inzicht risico’s projecten/inspanningen
C.1 De spelregels voor gebruik van het instrumentarium
Om het instrumentarium ook goed te kunnen gebruiken is het noodzakelijk dat we bij de uitwerking van de risico’s een aantal eenduidige spelregels toepassen.
Voor elk risico bepalen we financiële impact
Om een risico te kunnen wegen, dient voor elk risico het financiële effect aangegeven te worden. Soms ligt het bedrag voor de hand, in andere gevallen is het bedrag een beredeneerde inschatting. Het gaat hier om het financieel effect, rekening houdend met de getroffen / te treffen beheersmaatregelen: het zogeheten netto (rest)risico.
Voor elk risico bepalen we de impact op de doelstellingen en het imago
De impact dat een risico heeft, hebben we gesplitst in een 2-tal onderdelen: de mogelijke impact op de realisatie van de doelstelling en de impact op het imago. In feite gaat het hier om de consequenties van de niet-financiële risico’s.
Aan de risico niveaus voor de impact zijn de volgende scores gekoppeld:
Bij de kwalificatie van het imago-risico wordt gekeken naar het niveau waarop het nieuws mogelijk tot uiting komt. Bij de impact op de doelstelling (kwaliteit) bepaalt de mate en het moment waarop de doelstelling wordt gehaald de keuze voor de score is. De scores voor imago en doelstelling worden opgeteld. Het is overigens onontkoombaar dat de inschattingen subjectief zijn. Daarom is het belangrijk dat meerdere mensen betrokken zijn bij de bepaling en periodieke actualisatie daarvan.
Voor elk risico wordt de kans dat deze zich voordoet bepaald
De kans wordt weergeven in een percentage tussen de 0 en 100%. Daarbij bepalen we een percentage voor de kans dat het financiële effect zich voordoet en een percentage voor de kans dat de impact op de doelstelling en het imago zich voor zal doen. Deze kunnen dus verschillend zijn. Ook hier geldt dat het gaat om inschattingen die subjectief zullen zijn maar waarbij de discussie erover essentieel is.
Voor elk risico zijn beheersmaatregelen te treffen
We leggen voor elk relevant risico (de meest effectieve) beheersmaatregelen vast. Ondanks dat externe risico’s moeilijk te beheersen zijn, zijn er - zij het beperkt – veelal wel maatregelen mogelijk. Denk bijvoorbeeld aan tijdig informeren. Voor TOP-risico’s geldt dat deze concreet geformuleerd moeten zijn, de beheersmaatregelen van een tijdspad zijn voorzien en het gewenste effect ervan wordt gekwantificeerd.
Bij onderdeel C3 van deze bijlage wordt aan de hand van een 2-tal grafieken (waarin bovenstaande scores zijn verwerkt) inzichtelijk gemaakt wat de TOP-risico’s zijn.
C.2 Wijze van vastlegging risico’s
Risico’s die we willen vastleggen, worden uitgewerkt in een risico-format. Een voorbeeld hiervan is opgenomen bij onderdeel C5 (lijn, programma’s en ambities), waarna de vastlegging daarvan in Fully In Control plaatsvindt. Dit format brengt schematisch het risico in beeld en helpt om het nader te duiden. De invulling van het format ondersteunt het nadenken over het risico en de (getroffen) maatregelen. Het vastleggen van een risico is geen doel op zich. Het is afhankelijk van de mate waarin een risico als relevant wordt gezien om apart inzichtelijk te maken en te monitoren. Dat blijft een subjectieve inschatting. Risico’s die in de categorie TOP-risico’s vallen of dat wellicht in de toekomst kunnen worden, dienen per definitie te worden vastgelegd.
Voor de interne vastlegging van risico’s van het Grondbedrijf en van projecten wordt het format gebruikt zoals opgenomen bij onderdeel C6. Mocht een project gezien het overall risicoprofiel als TOP-risico worden beschouwd, dan wordt ten behoeve van de planning en control cyclus voor het project als totaal ook het format uit bijlage C ingevuld en opgevoerd in Fully In Control.
Op het risicoblad wordt het risico systematisch uitgewerkt. De belangrijkste onderdelen zijn:
Een risico is een onzekere (interne of externe) gebeurtenis die het realiseren van onze doelen positief of negatief kan beïnvloeden. De doelstelling moet herkenbaar zijn uit de Begroting, het eenheidsplan (A3 jaarplan) of een belangrijke doelstelling die hiervan direct afgeleid is.
(Risico)gebeurtenis, oorzaak en gevolg
De risicogebeurtenis (het risico zelf), de oorzaak en het gevolg worden zo in het format vastgelegd dat in één keer duidelijk is waar het om gaat en het geen vragen oproept.
Voor het typeren van de risico’s gebruiken we het model van Kaplan waarin de risico’s worden ingedeeld op basis van de mate waarin beheersing mogelijk en wenselijk is. Daarbij wordt een 3-tal soorten risico’s onderscheiden:
Bij de te voorkomen risico’s gaat het om interne risico’s die te beheersen en in principe vermijdbaar of te voorkomen zijn. Voorbeelden zijn schade door problemen in bedrijfsvoeringprocessen en risico’s ten aanzien van het onjuist of niet toepassen van de wet- en regelgeving (juridische risico’s). Ook beleidsmatige of politieke risico’s vallen onder deze categorie. Deze risico’s moeten proactief gemanaged worden door het regelmatig checken van processen en regels rondom gedrag en besluitvorming.
Strategische risico’s hangen samen met de strategie die de gemeente kiest en zijn daarmee vrijwillig geaccepteerde risico’s. Belangrijk is dat de risico’s tegen de te behalen doelstellingen worden afgewogen. Hierbij dient de kans van optreden van de risico’s dan wel de mogelijke impact te worden verkleind. Voor deze risico’s is het regelmatig terugkerende gesprek van groot belang.
Bij de externe risico’s gaat het om niet beïnvloedbare, van buiten de gemeente komende risico’s. Denk hierbij aan natuurrampen, wet- en regelgeving, macro economische, politieke en demografische omstandigheden. Ook conjunctuurschommelingen veroorzaken onzekerheden zowel met betrekking tot inkomsten) als uitgaven Qua beheersing wordt bij deze risico’s veelal gewerkt met een scenario-analyse die de gevolgen van verschillende uitkomsten nader duidt.
In het format worden de beheersmaatregelen weergegeven die (al) worden ondernomen om het risico te verkleinen. Belangrijk is dat deze maatregelen concreet zijn omschreven. Bij de TOP-risico’s dienen deze ook van een tijdspad en gewenst effect zijn voorzien.
Belangrijk in het instrumentarium is de waardering van het risico in geld en op impact. In het format moeten deze scores worden vastgelegd. Bij het financiële effect wordt bepaald of het risico incidenteel of structureel is. Bij structurele effecten moet voor de 4 jaren na het huidige jaar het effect worden bepaald, na de doorvoering van beheersmaatregelen (het netto risico). De scores komen niet wetenschappelijk tot stand, het is een inschatting, maar er zit een redenering achter. Die leggen we in het format vast.
Indien sprake is van een structureel risico dan wordt de uitkomst verdubbeld. Bij de kwantificering van structurele risico’s gaan we er namelijk vanuit dat deze in 4 jaar worden gedekt door beheersmaatregelen, aanpassing van beleid, of ombuigingen binnen de begroting. Wij bepalen daarom het risico voor het 1e jaar 100% van het risico-bedrag, het 2e jaar 67%, het 3e jaar 33% en het 4e jaar op 0%.
C.3 Bepaling van en inzicht in het risicoprofiel
De risico-formats geven inzicht in de afzonderlijke risico’s. Door in een grafiek alle risico’s in beeld te brengen, kunnen we de risico’s vergelijken. Hoe verhouden ’ze zich met elkaar en wat zijn onze TOP-risico’s?
Kwadrantenmodel A: inzicht in kans en financieel effect
In onderstaande grafiek wordt de kans dat het risico zich voordoet afgezet tegen het financiële effect. De horizontale kwadrantlijn bepaalt de grens van de kwadranten op een financieel effect van € 250.000,-. De verticale kwadrantlijn bepaalt de grens van de kwadranten op een risico van 30%. De risico’s waarvoor geldt dat én sprake is van een financieel effect boven de € 250.000,- én de inschatting is dat de kans op het risico boven de 30% ligt zijn de financiële TOP-risico’s.
Kwadrantenmodel B: inzicht in kans en impact op doelstellingen en imago
In de volgende grafiek wordt de kans dat het risico zich voordoet afgezet tegen de impact op doelstelling en imago. De impact is hierin bepaald door de optelling van de impactscore op doelstelling en imago. De grens voor de TOP-risico’s is voor de verticale kwadrantlijn bepaald op een impactscore van 7. De horizontale kwadrantlijn is gezet op een kans van 30%. Indien voor een risico sprake is van een impactscore van 4 of hoger en tevens de inschatting op de kans op een risico boven de 30% ligt, dan is sprake van een niet-financieel TOP-risico.
C.4 Totaal gecalculeerde risico’s, weerstandscapaciteit en weerstandsvermogen
Risicomanagement heeft primair tot doel om het behalen van onze doelen en projectresultaten te bevorderen. Daarnaast is het inzicht in de mogelijke financiële effecten ook relevant om op concernniveau te bepalen wat het totale mogelijke financiële effect ervan is en hoe zich dat verhoudt tot hetgeen we beschikbaar hebben om dit effect op te kunnen vangen. In deze paragraaf wordt dit nader toegelicht.
Benodigde weeststandscapaciteit
Voor het bepalen van het benodigde weerstandsvermogen wordt gebruik gemaakt van de Monte-Carlo simulatie uit Fully In Control. Aan de hand van de simulatie worden de ingevoerde risico’s in Fully In Control geordend op basis van de invloed die zij uitoefenen op het benodigde weerstandsvermogen. De invloed per risico op het benodigde weerstandsvermogen wordt uitgedrukt in een invloed percentage. Het invloed percentage is de invloed van het betreffende risico op het totale risicoprofiel (totale simulatieresultaat). De hoogte van de invloed percentages worden bepaald aan de hand van de kans inschatting in combinatie met de spreiding tussen het minimale, verwachte en maximale financiële gevolg per risico. Op basis van deze risicosimulatie is in het verleden afgesproken dat wij een zekerheidspercentage van 90% hanteren om alle risico’s te kunnen afdekken.
Beschikbare weerstandscapaciteit
De beschikbare weerstandscapaciteit van de gemeente bestaat uit het geheel aan middelen dat de organisatie daadwerkelijk beschikbaar heeft om de risico's in financiële zin af te dekken. Hiervoor gebruiken wij Algemene reserves.
Relatie benodigde en beschikbare weerstandscapaciteit
Om te bepalen of het weerstandsvermogen toereikend is, dient de relatie te worden gelegd tussen de financieel en niet-financieel gekwantificeerde risico's en de daarbij gewenste weerstandscapaciteit en de beschikbare weerstandscapaciteit. De relatie tussen beide componenten wordt in onderstaande figuur weergegeven.
De benodigde weerstandscapaciteit die uit de risicosimulatie voortvloeit, kan worden afgezet tegen de beschikbare weerstandscapaciteit. De uitkomst van die berekening vormt het weerstandsvermogen.
De normtabel is ontwikkeld in samenwerking met de Universiteit Twente. Het biedt een waardering van het berekende ratio. Hieronder is de normtabel weergegeven.
C.5 Risicoformat Lijn, Programma’s en Ambitie’s