Ziet u een fout in deze regeling? Meld het ons op regelgeving@overheid.nl!

Deventer

Beleidsnota risicomanagement en weerstandsvermogen - actualisering 2014

Wetstechnische informatie

Gegevens van de regeling
Organisatie	Deventer
Organisatietype	Gemeente
Officiële naam regeling	Beleidsnota risicomanagement en weerstandsvermogen - actualisering 2014
Citeertitel	idsnota risicomanagement en weerstandsvermogen - actualisering 2014
Vastgesteld door	gemeenteraad
Onderwerp	openbare orde en veiligheid
Eigen onderwerp

Opmerkingen met betrekking tot de regeling

Deze regeling vervangt de Beleidsnota risicomanagement en weerstandsvermogen 2007.

Wettelijke grondslag(en) of bevoegdheid waarop de regeling is gebaseerd

Onbekend

Overzicht van in de tekst verwerkte wijzigingen
Datum inwerkingtreding	Terugwerkende kracht tot en met	Datum uitwerkingtreding	Betreft	Datum ondertekening Bron bekendmaking	Kenmerk voorstel
26-11-2022			nieuwe regeling	22-04-2015 gmb-2022-525913	2014-2368

Tekst van de regeling

Intitulé

Beleidsnota risicomanagement en weerstandsvermogen - actualisering 2014

De raad van de gemeente Deventer,

Gelezen het voorstel van burgemeester en wethouders d.d.9 december 2014, nummer 2014-2368.

BESLUIT

De beleidsnota risicomanagement en weerstandsvermogen - actualisering 2014 vast te stellen.

Voorwoord

De gemeenschappelijke omgeving van de gemeente Deventer is de afgelopen jaren steeds complexer geworden. Een grote veroorzaker van die complexiteit is natuurlijk de economische crisis, maar ook ontwikkelingen op maatschappelijk gebied, zoals de drie decentralisaties, hebben hun weerslag. Er is een enorme verantwoordelijkheid met bijbehorende financiële middelen richting de gemeenten gekomen. Een ontwikkeling die gepaard gaat met veel onzekerheden.

Voor het omgaan met onzekerheden is in 2007 binnen de gemeente Deventer de beleidsnota Risicomanagement en Weerstandsvermogen vastgesteld. Nu, zeven jaar later, is deze nota aan herziening toe. Voor u ligt dan ook de Beleidsnota risicomanagement en weerstandsvermogen – 2014 die de oude beleidsnota uit 2007 vervangt.

De nota biedt een kaderstellende beleidslijn voor het integraal sturen op en beheersen van risico’s. Dit houdt onder andere in dat op gestructureerde wijze risico’s worden geïdentificeerd, geanalyseerd en beheerst en dat op basis van die resultaten de optimale omvang van het weerstandsvermogen wordt bepaald. Daarnaast biedt de beleidsnota inzicht in de mate waarin de raad zijn kaderstellende en controlerende taak goed kan uitoefenen.

Samenvatting

In de afgelopen jaren zijn in de gemeente Deventer flinke stappen gezet op het gebied van risicomanagement. Na vaststelling van de eerste beleidsnota Risicomanagement en Weerstandsvermogen in 2007 werd in 2010 het Risico Informatie Systeem (RIS) geïntroduceerd. Mijlpalen die risicomanagement een plek in het sturingsinstrumentarium van Deventer hebben gegeven. Maar de ontwikkelingen staan niet stil. Zowel externe (o.a. de economische crisis en de drie decentralisaties) als interne factoren (o.a. het onderzoeksrapport van de rekenkamer naar risico’s bij de grondexploitatie en ervaringen in de afgelopen jaren) dwingen tot heroverweging van het bestaande beleid. Deze constateringen hebben geleid tot deze herziening van de beleidsnota.

Deze geactualiseerde beleidsnota ‘Risicomanagement en Weerstandsvermogen - 2014’ biedt een integraal kader dat als leidraad dient voor risicomanagement binnen de gemeente Deventer.

Wat is nieuw (actualisatie)?

In 2007 is de eerste beleidsnota ‘Risicomanagement en weerstandsvermogen’ vastgesteld. Volgens de financiële verordening ex artikel 212 Gemeentewet worden beleidsnota’s in Deventer geactualiseerd indien daar concrete aanleiding voor is. Dit is de eerste actualisatie.

De doelstelling van deze actualisatie is om het beleid bij te stellen op basis van de volgende punten:

○
opgedane ervaring in de afgelopen jaren;
○
gewijzigde wet- en regelgeving;
○
resultaat onderzoeksrapporten (bijvoorbeeld rekenkamercommissie);
○
rapporten van het team Audit (onderdeel team Planning Control & Audit);
○
relevante rapporten van externe partijen (bijvoorbeeld accountant);
○
vergelijking met andere gemeenten.

De beleidsnota is op de volgende punten gewijzigd ten opzichte van de nota uit 2007:

○
In de beleidsnota is opgenomen dat onder beperkende omstandigheden aan risico’s gerelateerde kansen mogen worden verrekend. In de oude beleidsnota was nog expliciet gesteld dat ‘vanuit het voorzichtigheidsprincipe positieve risico’s niet worden gesaldeerd met de negatieve risico’s’. Het beleidskader, waarin de beperkende omstandigheden worden beschreven, is opgenomen in bijlage 2.
○
Conform het BBV (artikel 9, lid 2) is de benaming van de paragraaf weerstandsvermogen gewijzigd in ‘weerstandsvermogen en risicobeheersing’.
○
De omvang van een stille reserve wordt enkel meegenomen bij de omvang van de beschikbare weerstandscapaciteit als hierover door de raad is besloten. Bij het bepalen van de stille reserve gaat Deventer voor de economische- of marktwaarde uit van de WOZ waarde van het betreffende object.
○
Gemeente Deventer hanteert voor het integraal registreren van de risico´s een risico informatie systeem (RIS). Dit systeem vormt de basis voor de P&C rapportages en andere risicorapportages.
○
Aan de uitkomst van de ratio weerstandsvermogen is in deze beleidsnota een kwalificatie gekoppeld;
○
Het risicomanagementproces (methode) is uitgebreid met een extra fase. Voordat wordt gestart met het identificeren van risico’s wordt eerst gekeken naar de context van de opdracht, het project, de afdeling of de organisatie. Met deze extra fase wordt bewustwording van de situatie bereikt. Wat is de situatie, hoe ziet de omgeving eruit en wat zijn de krachten die van invloed zijn op de situatie? Is in die context risicomanagement het juiste instrument? Dit zijn in het kort de aspecten die horen bij deze fase.
○
In de beleidsnota is extra opgenomen dat bij de verantwoording en rapportage over risico’s en risicomanagement wordt aangegeven welke beheersmaatregelen zijn genomen en wat het effect van deze maatregelen is geweest.
○
Op basis van de ervaringen in de afgelopen jaren zijn de risicoklassen voor de impact (verwachte omvang) en kans (waarschijnlijkheid) bijgesteld en afgestemd op de praktijk (zie paragraaf 5.3).
○
Op basis van de aanpassing van de classificering is de minimale risicoscore waarbij de raad wordt geïnformeerd aangepast. Voor de paragraaf weerstandsvermogen is de score opgetrokken van 8 naar 12. Voor de actieve informatieplicht buiten de P&C cyclus om, is de score van 12 naar 15 gebracht.
De risicoscore wordt daarbij bepaald door de score voor de kans te vermenigvuldigen met de score voor het gevolg. Zie classificeringstabellen in hoofdstuk 5.3.
○
De beleidsnota is uitgebreid met een beschrijving van de verschillende taken en verantwoordelijkheden (rollen) voor risicomanagement binnen de gemeente Deventer. Onlosmakelijk verbonden met risicomanagement is Governance (sturen, beheersen, toezicht houden en verantwoorden).
Doelstelling daarbij is om een organisatie en daarmee risicomanagement gecontroleerd te sturen. De beleidsnota onderkent de volgende actoren:
- ○
  Gemeenteraad
- ○
  Auditcommissie
- ○
  College
- ○
  Directie/Ambtelijk opdrachtgever
- ○
  Programmamanagement
- ○
  Concerncontroller
- ○
  Product-, project-, en lijnmanagement
- ○
  Team Advies en Beleid
- ○
  Team Audit (PCA)
De verschillende rollen van de actoren zijn opgenomen in hoofdstuk 3.
○
De beleidsnota is uitgebreid met twee belangrijke bijlagen. Bijlage 5. Aandachtspunten risicomanagement biedt het bestuur en management een checklist per Governance cyclus onderdeel (sturen, beheersen en verantwoorden). Op basis van de antwoorden op betreffende vragen (aandachtspunten) kan een beeld worden verkregen van de mate en kwaliteit van risicomanagement in de gemeente Deventer.
Bijlage 6. Vragenlijst risicogesprek biedt het bestuur en management een handreiking om het gesprek over risicomanagement te starten binnen de organisatie.
○
De beleidsnota is zowel inhoudelijk als tekstueel gericht op twee doelgroepen. Managerial voor het bestuur, waarbij kort en bondig wordt ingegaan op de uitgangspunten, visie en rollen en verantwoordelijkheden (sturingselementen). Instructief voor het ambtelijk apparaat waarbij de nadruk ligt op de aanpak en het te bereiken resultaat.

Wat biedt de beleidsnota niet?

De beleidsnota geeft kaders, uitgangspunten en richtlijnen voor het uitvoeren van risicomanagement binnen de gemeente Deventer. Wat niet in de nota is opgenomen is de implementatie, uitvoering en borging van deze activiteiten. De nota biedt eveneens geen concrete richtlijnen of kaders voor risicomanagement in het fysieke domein en sociale domein. Onderscheid in aanpak is er ook niet. Het risicomanagementproces als beschreven in hoofdstuk 5 (en bijlage 3) is voor alle domeinen van toepassing.

Na vaststelling van de beleidsnota is voorzien in een specifiek uitgebreid voorlichtingstraject in de organisatie om risico-management levend te maken.

Samenvatting beleidsnota

Hieronder worden de specifieke Deventer beleidskeuzes puntsgewijs samengevat:

1.
Een risico is een gebeurtenis die wel of niet kan optreden waarbij het gevolg een negatief effect (schade) heeft op de continuïteit van de dienstverlening en het realiseren van de doelstellingen van de gemeente Deventer.
2.
Risicomanagement is het identificeren en kwantificeren van risico’s en het bepalen van activiteiten die de kans van optreden en/of de gevolgen van risico’s beheersbaar houdt. Dit alles in een cyclisch proces waarin de inventarisatie voortdurend actueel wordt gehouden.
3.
Aan risico’s gerelateerde kansen mogen onder beperkende omstandigheden worden verrekend. Het beleidskader hiervoor is opgenomen in bijlage 2.
4.
Het college is gehouden om relevante informatie over de ontwikkeling van risico’s en de risicopositie tijdig en ongevraagd onder de aandacht van de raad te brengen (actieve informatieplicht). Buiten de reguliere cyclus is dit verplicht voor nieuwe risico’s met een risicoscore van 15 of hoger (potentiële impact > € 5 ton).
5.
Risico’s met een risicoscore gelijk of hoger dan 12 worden altijd gerapporteerd aan de raad via de paragraaf weerstandsvermogen en risicobeheersing van de P&C cyclische rapportages.
6.
Risico’s met een risicoscore kleiner dan 12 worden niet gerapporteerd via de paragraaf weerstandsvermogen en risicobeheersing van de P&C cyclische rapportages. Het betreffen uiteraard wel risico’s en worden integraal meegenomen bij het bepalen van de benodigde weerstandscapaciteit.
7.
Gemeente Deventer hanteert voor het integraal registreren van de risico’s een risico informatiesysteem (RIS). Dit systeem vormt de basis voor de P&C rapportages en andere risicorapportages.
8.
Elk risico heeft een risico eigenaar die verantwoordelijk en bevoegd is om maatregelen te treffen. Hij/zij handelt volgens de kaders die in deze nota zijn gesteld.
9.
Het risicomanagementproces van Deventer bestaat uit de volgende zes fasen:
- ○
  Context
- ○
  Identificeren
- ○
  Classificeren/Kwantificeren
- ○
  Beheersmaatregelen bepalen
- ○
  Beheersmaatregelen toetsen
- ○
  Rapporteren en evalueren
10.
Het risicomanagementproces is integraal van toepassing op de gemeente Deventer. Er worden taken en verantwoordelijkheden onderscheiden die in het beleidskader specifiek worden benoemd (hoofdstuk 3).
11.
Risicomanagement is gemeentebreed van toepassing. Iedere medewerker in de organisatie heeft ermee te maken en draagt eraan bij.
12.
Conform artikel 9, lid 2 van het Besluit Begroting en Verantwoording voor provincies en gemeenten (BBV) moet de gemeente Deventer in begroting en jaarrekening een paragraaf weerstandsvermogen en risicobeheersing opnemen. Gemeente Deventer doet dit ook in de voorjaarsnota.
13.
Gemeente Deventer presenteert in zowel de voorjaarsnota, de (meerjaren) begroting als in de jaarrekening een paragraaf weerstandsvermogen en risicobeheersing. In de zomerrapportage en najaarsrapportage wordt gerapporteerd over de stand van zaken met betrekking tot de risico’s.
14.
Van ieder geïdentificeerd risico wordt bepaald wat de kans (waarschijnlijkheid) van optreden is en wat de verwachte omvang (impact) van het gevolg is. Hiervoor wordt uitgegaan van de in deze nota voorgeschreven risicoklassen (zie hoofdstuk 5 paragraaf 3).
15.
Voor ieder geïdentificeerd risico wordt een risicoscore bepaald op basis van de gestelde risicoklassen. Risicoscore is de score voor de kans (verwachting ) x de score voor het gevolg (impact).
16.
In de paragraaf weerstandsvermogen en risicobeheersing worden de van toepassing zijnde risico’s enkelvoudig gepresenteerd (geen clustering of cumulatie).
17.
Gemeente Deventer past voor het bepalen van de benodigde weerstandscapaciteit de Monte Carlo simulatietechniek toe. Deventer hanteert bij de berekening een zekerheidspercentage van 90%.
18.
Bovenop de uitkomst van het simulatiemodel voor de omvang van de weerstandscapaciteit rekent Deventer met een minimumnorm (2% omvang algemene uitkering + 2% OZB capaciteit). Dit is een extra buffer voor financiële tegenvallers waar niemand rekening mee houdt.
19.
De uitkomst van de ratio weerstandsvermogen moet gelijk of groter zijn dan 1. Een uitkomst van 1 < ratio < 1,2 wordt als voldoende beoordeeld. Is de ratio > 1,2 dan zal stapsgewijs afroming van de beschikbare weerstandscapaciteit plaatsvinden tenzij anders besloten.
20.
Als hulpmiddel voor de uitvoering van risicomanagement maakt Deventer gebruik van een Risico Informatie Systeem (RIS).
21.
Afwijking van de beleidsnota door het college is enkel toegestaan indien het toepassen ervan onevenredig is met de veronderstelde te bereiken doelen. De afwijking wordt met argumenten altijd eerst aan de raad voorgelegd (hardheidsclausule).

Hoofdstuk 1. Inleiding

1.1 Aanleiding

In 2007 is de ‘Beleidnota risicomanagement en weerstandsvermogen’ opgesteld en door de raad geaccordeerd. Gemeente Deventer onderkende op dat moment het belang van de ontwikkelingen op het gebied van risicomanagement en nam met de nota het initiatief om invulling te geven aan het beleid. Nu, zeven jaar later en veel ervaringen rijker is de nota aan herziening toe. In de tussentijd hebben de ontwikkelingen op het gebied van risicomanagement voor de decentrale overheid niet stilgestaan. We bevinden ons in de afgelopen jaren in een geheel andere economische en maatschappelijke conjunctuur. De economische crisis is daarvan natuurlijk de meest herkenbare maar ook de ontwikkelingen die in gang zijn gezet op maatschappelijk gebied, zoals de drie decentralisaties hebben hun weerslag op risicomanagement. Er is namelijk een enorme verantwoordelijkheid met bijbehorende financiële middelen richting de gemeente gekomen. Een ontwikkeling die gepaard gaat met veel onzekerheden.

Daarnaast zijn er in het Besluit Begroting en Verantwoording provincies en gemeenten (BBV) enkele wijzigingen doorgevoerd die van invloed zijn op het beleid. Tenslotte is in 2013 door de Rekenkamercommissie onderzoek gedaan naar de wijze waarop Deventer haar systeem van risicomanagement op het gebied van de grondexploitatie vormgeeft. De aanbevelingen die daaruit naar voren zijn gekomen, hebben eveneens grondslag gevormd voor deze actualisatie.

1.2 Risicomanagement

Vanuit de zorg voor een structureel goed, veilig, efficiënt en milieubewust leef-, werk-, woon- en verblijfmilieu voor de burger, investeert Deventer jaarlijks veel geld in zowel ruimtelijk fysieke projecten als activiteiten op het gebied van maatschappelijk welzijn.

Het realiseren van betreffende voorzieningen en de zorg voor een structureel voortbestaan leggen beslag op schaarse middelen en gaan niet zelden gepaard met het nemen van risico’s.

Het is niet eenvoudig om in de ontwikkelingen van bedrijfsvoering en control een systeem van sturen via beheersen naar verantwoorden in te richten. De omgeving waarin Deventer functioneert, is in beweging en het is daarin onvermijdelijk dat doelstellingen, uitgangspunten en risico’s continue wijzigen. In deze dynamische omgeving heeft Deventer te maken met onverwachte gebeurtenissen die consequenties hebben op het realiseren van de doelstellingen. Het is wenselijk en zelfs noodzakelijk een systeem te hebben dat deze onzekere gebeurtenissen tijdig in beeld brengt zodat maatregelen genomen kunnen worden om negatieve effecten te minimaliseren of zelfs te voorkomen.

Dat is nu precies waar het bij risicomanagement om draait. Het inventariseert vooraf systematisch gebeurtenissen die het behalen van de doelstellingen in gevaar kunnen brengen en biedt vervolgens maatregelen om de gebeurtenis te voorkomen of het gevolg ervan te beperken.

De relatie tussen deze verschillende punten is als volgt;

Het optreden van bepaalde gebeurtenissen kan voor een hoop problemen zorgen. Niet alleen financieel maar ook materieel of emotioneel. Denk bijvoorbeeld aan beschadiging of verlies van materieel, maar ook aan aantasting van het vertrouwen van de burger in de gemeente door bijvoorbeeld negatieve publiciteit. Activiteiten gericht op doelrealisatie kunnen flink averij oplopen.

De onzekerheid of een gebeurtenis wel of niet optreedt en vervolgens een negatief gevolg heeft voor het realiseren van de doelstelling wordt een risico genoemd. Binnen de gemeente Deventer hebben we met verschillende risico’s te maken.

Onderstaand figuur geeft een beeld van de risico’s die van invloed zijn op de doelstellingen die we willen realiseren:

1.3 Risico’s nemen

Risico’s beschouwen we in dit document niet als iets negatiefs, dat zoveel mogelijk moet worden vermeden. Beleid maken en uitvoeren is nu eenmaal risico nemen. Dat betekent dat van te voren goed moet worden nagedacht over de gevolgen, zodat een afgewogen besluit kan worden genomen. Risicomanagement heeft dan ook een politieke kant: de mate waarin risico’s worden genomen is een politiek bestuurlijke afweging.

Deventer wil risicomanagement breed toepassen. De afgelopen jaren zijn daar flinke stappen in gezet maar Deventer wil verder. Om dit te kunnen doen moeten de doelstellingen en de kaders waarbinnen risicomanagement zich afspeelt duidelijk zijn. In deze nota zijn deze kaders neergezet. Twee kernbegrippen zijn daarbij van belang en lichten we hieronder toe.

Risico: Een gebeurtenis die wel of niet kan optreden waarbij het gevolg een negatief effect (schade) heeft op de (continuïteit van de) dienstverlening en het realiseren van de doelstellingen van de organisatie.

Risicomanagement: Het identificeren en kwantificeren van risico’s en het bepalen van activiteiten die de kans van optreden en/of de gevolgen van risico’s beheersbaar houdt. Dit alles in een cyclisch proces waarin de inventarisatie voortdurend actueel wordt gehouden.

1.4 Risico’s en kansen

Een gebeurtenis kan ook een positief effect hebben op het realiseren van de doelstelling. Risicomanagement is in eerste instantie niet bedoeld voor het inventariseren van deze positieve effecten (kansen). In deze beleidsnota wordt primair uitgegaan van de negatieve effecten (risico’s) van gebeurtenissen. Gerelateerde kansen mogen onder beperkende omstandigheden worden verrekend met de bijbehorende risico’s. Het salderen van risico’s met een positief en een negatief gevolg binnen een specifieke activiteit, project of product levert geen onverantwoord of onvoorzichtig risicoperspectief op. Er is met name sprake van een meer gedifferentieerd risicoprofiel waarbij gerelateerde positieve ontwikkelingen (kansen) worden meegenomen in de beheersing van de activiteit. De handelswijze wordt door de accountant beoordeeld als aanvaardbaar en consistent.

In bijlage 2 is het beleidskader opgenomen dat van toepassing is op het verrekenen van kansen met risico’s.

1.5 Totstandkoming

De beleidsnota is tot stand gekomen door het raadplegen van verschillende bronnen. Zo zijn tijdens diverse risicomanagement bijeenkomsten informatie, kennis en ervaring uitgewisseld met andere gemeenten en het Nederlands Adviesbureau voor Risicomanagement (NAR). Daarnaast is uitgegaan van de actuele ontwikkeling vanuit het Besluit Begroting en Verantwoording provincies en gemeenten (BBV). Vervolgens zijn verschillende brondocumenten geraadpleegd waaronder beleidsnota’s van andere gemeenten, diverse publicaties (o.a. Deloitte) in vakliteratuur en is uitgegaan van de aanbevelingen uit het rapport van de Rekenkamercommissie ´Risico´s beheerst´ (2013). Een andere belangrijke bron van informatie is de ervaring die de afgelopen jaren is opgedaan met risicomanagement. Deze informatie bestaat o.a. uit vragen en antwoorden over risicomanagementrapportages (o.a. diverse weerstandsparagrafen) en gesprekken die zijn gevoerd met gebruikers, managers en college- en raadsleden. Uit al deze bronnen is voor Deventer dit passend beleid opgesteld.

1.6 Leeswijzer

Deze nota biedt een leidraad voor het omgaan met risico’s die mogelijk een negatief effect hebben op het behalen van de doelstellingen. Dit gebeurt in verschillende stappen.

In hoofdstuk 2 wordt uitgelegd wat risicomanagement is en wat de doelstellingen van Deventer zijn met risicomanagement. In hoofdstuk 3 volgt aansluitend inzicht in de verschillende rollen en verantwoordelijkheden ten aanzien van risicomanagement. In hoofdstuk 4 wordt de visie op de toegevoegde waarde van risicomanagement in Deventer gepresenteerd. Hoofdstuk 5 behandelt de methode die Deventer hanteert voor het risicomanagementproces. Daarin wordt aandacht besteed aan de cyclus van de zes processtappen. Bijlage 3 gaat op instructieve wijze in op deze processtappen. Het bepalen van de omvang van het weerstandsvermogen wordt in hoofdstuk 6 nader toegelicht. Tot slot wordt in hoofdstuk 7 kort ingegaan op het risico informatiesysteem (RIS) dat binnen Deventer wordt gebruikt.

2. Wat is risicomanagement?

2.1 Wat verstaan we onder risicomanagement?

Soms worden behoorlijk voor de hand liggende gebeurtenissen of situaties over het hoofd gezien waardoor het doel niet wordt bereikt. Wat van dit soort situaties kan worden geleerd is dat het heel zinvol is om van te voren na te denken over wat er binnen een project of organisatie allemaal kan gebeuren. Dat geeft de mogelijkheid om passende maatregelen te treffen en ellende te voorkomen. Dat is eigenlijk waar het bij risicomanagement om draait: het vooraf inventariseren van gebeurtenissen die het behalen van de doelstellingen in gevaar kunnen brengen en het toepassen van maatregelen om risico’s te beheersen.

2.2 Uitgangspunten

In ons dagelijks werk wordt op een bepaalde manier al bewust met risico’s omgegaan. Voor bepaalde onverwachte gebeurtenissen wordt een verzekering afgesloten of om negatieve reacties van de burger te voorkomen wordt bijvoorbeeld tijdig gecommuniceerd (denk daarbij aan straatopbrekingen, bouwactiviteiten maar ook aan noodzakelijke bezuinigingen met een groot maatschappelijk effect).

Maar bij grotere en complexere opgaven, zeker als er veel partijen bij betrokken zijn, is het van belang om risicomanagement in te zetten.

Voor een succesvolle toepassing van risicomanagement is het belangrijk om de juiste uitgangspunten vast te stellen. Uitgangspunten zijn namelijk bepalend voor de cultuur en houding ten aanzien van risicomanagement. Het zorgt niet alleen voor de gewenste houding bij invoering maar er kan ook op worden teruggevallen bij onduidelijkheden of weerstand in de loop der tijd. De volgende uitgangspunten liggen binnen Deventer ten grondslag aan het toepassen van risicomanagement:

○
Risico’s nemen is onvermijdelijk, er over communiceren ook!
Ieder organisatie onderdeel heeft te maken met risico’s en moet daarmee leren omgaan. Communiceren is daarbij van essentieel belang voor tijdige sturing en ook om te leren.
○
Bewust omgaan met risico’s is een onderdeel van ieders werk!
Iedereen heeft te maken met risico’s.
○
Niemand is belangeloos!
Veel risico’s komen voort uit belangentegenstellingen. Zorg ervoor dat je alle belangen kent en erkent.
○
Als je niet naar risico’s vraagt krijg je ze ook niet te horen!
Vraag naar risico’s en praat er bewust met je collega’s over.
○
Twee weten meer dan één!
Raadpleeg meerdere bronnen om een reële inschatting te kunnen maken van risico’s.
○
Wie zijn risico’s niet kent heeft geen keuze!
Je kunt alleen sturen als je wat te kiezen hebt.
○
Risico’s worden het best beheerst door hen die er belang bij hebben!
Probeer risico’s te beheersen door ze neer te leggen bij de belanghebbenden. Zorg voor risico- eigenaren.
○
Wie niet reflecteert op successen en fouten, stopt met leren!
Organiseer regelmatig evaluaties om van elkaars ervaringen te leren.
○
Halve en onduidelijke maatregelen leiden tot niets!
Bedenk beheersmaatregelen die voor iedereen herkenbaar en eenduidig zijn. Formuleer de maatregel SMART (Specifiek, Meetbaar, Acceptabel, Realistisch en Tijdgebonden).

Het is het belangrijk deze uitgangspunten bij risicomanagement voor ogen te houden.

2.3 Doelstellingen

Bij het proces van risicomanagement hanteert Deventer de volgende doelstellingen:

○
Het vooraf inzichtelijk maken van de risico’s die de gemeente loopt;
○
Het stimuleren en vergroten van risico bewustzijn van de organisatie;
○
Het maken van keuzes in het omgaan met risico’s (risicogedrag);
○
Voorkomen dat het optreden van risico’s een negatief effect heeft op het uitvoeren van het bestaand beleid en het realiseren van doelstellingen;
○
Het minimaliseren van de verschillende risico’s die kunnen optreden (financiële schade, imago schade, vertragingen, etc.);
○
Het (organisatie breed) toepassen van een uniform geaccepteerd beleid waarmee het bestuur in staat wordt gesteld om weloverwogen beslissingen te nemen;
○
Het voldoen aan de wettelijke vereisten die in het Besluit Begroting en Verantwoording provincies en gemeenten (BBV) zijn vastgelegd.

2.4 Beleid

Het risicomanagementbeleid is de basis voor het verankeren van risicomanagement op alle niveaus in de organisatie en vormt het kader waarbinnen risicomanagement wordt uitgevoerd. Het beleid is gebaseerd op de uitgangspunten en de doelstellingen van risicomanagement en wordt gemonitord door middel van rapportages en gespreksvoering in de planning en controlcyclus en thematische onderzoeken. Periodiek wordt het beleid herzien door het college en ter goedkeuring voorgelegd aan de raad.

2.5 Proces

Het risicomanagementproces is een continu proces van het in beeld krijgen van de context, het identificeren en in beeld brengen van de risico’s, het classificeren en kwantificeren van risico’s, het bepalen en implementeren van de beheersmaatregelen, het toetsen van de beheersmaatregelen en vervolgens het evalueren van de effecten en het rapporteren.

Dit zes stappen proces kan als volgt worden weergegeven;

Dit betreft een cyclisch proces dat door ieder organisatieonderdeel wordt doorlopen. In hoofdstuk 5 wordt ingegaan op de verschillende processtappen.

2.6 Succesfactor

Het toepassen van risicomanagement is een groeiproces. Risicomanagement vergt een ontwikkeling en bewustwording en een aantal investeringen binnen de organisatie. De implementatie van en groei in risicomanagement starten bij het strategisch beleid. De top van de organisatie moet zich bewust zijn van het belang van risicomanagement en moet dit ook uitdragen. Bij de implementatie is een bepaalde ‘top down’ druk nodig om het belang van risicomanagement bij de rest van de organisatie te bevestigen. Uiteindelijk zijn het de medewerkers die risicomanagement moeten dragen en ernaar moeten handelen.

Een belangrijke voorwaarde voor een geslaagd risicomanagementproces is dat de doelen van de projecten, programma’s, processen, teams of activiteiten SMART zijn geformuleerd.

3. Taken en verantwoordelijkheden

Iedereen in de organisatie heeft te maken met risicomanagement. Onlosmakelijk verbonden met risicomanagement is Governance. We hebben het dan over het borgen van de onderlinge samenhang van de wijze van sturen, beheersen en toezichthouden van de organisatie. Zowel Governance als risicomanagement hebben als doelstelling een organisatie meer gecontroleerd te sturen. Voor de rollen en verantwoordelijkheden voor het risicomanagement binnen de gemeente Deventer is uitgegaan van Governance (sturen, beheersen, toezicht houden en verantwoorden). Hieronder zijn de rollen en verantwoordelijkheden samengevat in een tabel.

Actoren	Rollen	Taken en verantwoordelijkheden
Gemeenteraad	Sturen en toezicht	○ Vaststellen beleidskader door: ○ Vaststellen uitgangspunten en methodiek risicomanagement (4)¹ ○ Hoogte weerstandsvermogen vaststellen (4) ○ Vaststellen uitgangspunten projecten (4) ○ Beoordelen rapportages en adviezen van het College (0)
Auditcommissie	Toezicht en advies	○ Adviseren op toepassen beleidskader (1) ○ Adviseren van de raad over kaders risicomanagement (4) ○ Advisering van de raad over kaders weerstandsvermogen (4) ○ Sparringpartner College over risicomanagement (4)
College	Sturen en toezicht	○ Toezien op implementatie risicomanagement (1) ○ Vaststellen risicomanagementbeleid (4) ○ Beoordelen rapportages van de directie (0) ○ Sturen op verantwoording van risico’s (0) ○ Informeren van de raad over gemeentebrede risico’s met een risicoscore gelijk of > 12 via de P&C cyclus rapportages (0) ○ Actief informeren van de raad over nieuwe risico’s met een risicoscore gelijk of > 15 die nog niet via de cyclus zijn gerapporteerd (0) ○ Informeren van de raad over risico’s bij belangrijke raadsvoorstellen (0)
Directie/Ambtelijk opdrachtgever	Sturen en verantwoorden	○ Sturen op scenarioplanning (0) ○ Verantwoordelijk voor behalen doelstellingen risicomanagement (0) ○ Toepassen risicomanagement als rapportage instrument (0) ○ Monitoren risicoprofielen van de programma’s (0) ○ Maatregelen nemen voor het beheersen van de risico’s en hierover actieve terugkoppeling organiseren (0) ○ Informeren van het college over gemeentebrede risico’s met een risicoscore gelijk of > 12 via de P&C cyclus rapportages (0) ○ Actief informeren van college over nieuwe risico’s met een risicoscore gelijk of > 15 die nog niet via de cyclus zijn gerapporteerd (0) ○ Tonen en stimuleren van belang risicomanagement (0)
Programma- management	Signaleren en advies	○ Implementeren risicomanagement in programma’s en projecten (0) ○ Signaleren ontwikkeling risico’s en beheersmaatregelen en rapporteren (2) ○ Werken binnen de geformuleerde uitgangspunten (0) ○ Actief terugkoppelen aan directie/AO over risicomanagementproces (0) ○ In beeld brengen van de consequenties op de financiële positie (2) ○ Scenarioanalyse per product/project in beeld brengen (1)
Concerncontroller	Signaleren en advies	○ Signaleren en rapporteren over ontwikkelingen risicomanagement binnen de organisatie (0) ○ Signaleren en adviseren aan directie over landelijke ontwikkelingen risicomanagement (0) ○ Rapporteren over de kwaliteit van risicomanagement aan directie (1)
Product-, project- en lijnmanagement	Beheersen	○ Identificeren en kwantificeren risico’s (0) ○ Bepalen en implementeren beheersmaatregelen (0) ○ Bepalen van verschillende scenario’s (1) ○ Signaleren effecten (financieel en niet-financieel) beheersmaatregelen en rapporteren aan programmamanagement (1) ○ Werken binnen de geformuleerde uitgangspunten (0)
Advies en beleid	Beheersen en toezicht	○ Adviseren bij de scenario analyse (0) ○ Integraal in beeld brengen van de financiële consequenties op de financiële positie (weerstandsvermogen/-paragraaf) (2) ○ Beoordelen risico’s en beheersmaatregelen (0) ○ Rapporteren over de kwaliteit van het risicomanagement en de mate waarop het wordt uitgevoerd (1) ○ Faciliteren lijnmanagement en risico’s in gesprek brengen (incl. projectcontrol) (2) ○ Bijstellen methodiek/tool van risicomanagement (4)
Audit (PCA)	Signaleren	○ Toetsen of het risicomanagementproces wordt nageleefd. ○ Periodiek beoordelen van de effectiviteit van het risicomanagementinstrument en rapporteren aan de directie (2). ○ Het opstellen van een auditplan voor risicomanagement en hier uitvoering aan geven (0)

4. Visie op toegevoegde waarde risicomanagement

Er bestaan diverse modellen en theorieën op het gebied van risicomanagement. Denk bijvoorbeeld aan NEN-ISO 31000, RISMAN, INK model en COSO. Modellen blijven een vereenvoudiging van de werkelijkheid. De praktijk laat zich er niet in vangen. Dit geldt ook voor de praktijk in Deventer.

Het Deventermodel heeft overeenkomsten met een combinatie van het COSO model, het Enterprise Risk Management (ERM) model en het RISMAN model. Op welke vlakken die overeenkomsten zijn en waar vooral de groei voor Deventer geldt wordt hieronder kort toegelicht.

Bottom-up benadering

De gemeente Deventer kiest ervoor om de risico’s vanuit de organisatie (progamma’s, producten en lijnactiviteiten) naar boven te laten komen (bottom-up benadering). De risico’s worden gesignaleerd en geïdentificeerd door degenen die daar in het dagelijks werk tegenaan lopen. Met behulp van deze inzichten worden de risico’s door de directie vastgesteld en vormen vervolgens de basis voor de gemeentebrede risico’s (inrichten). Een volgende stap zou zijn om op strategisch niveau richting te geven aan de risico’s. Deze fase is in Deventer nog in ontwikkeling.

Overeenkomst modellen

De overeenkomst tussen het COSO ERM model en het Deventer model is dat het in beide modellen gaat om ‘de organisatie een redelijke zekerheid te bieden ten aanzien van het behalen van de doelstellingen’. Deventer onderkent strategische, tactische en operationele doelen. Deze doelstellingen vormen het uitgangspunt van het (risicomanagement)beleid en daarover wordt periodiek gerapporteerd via de P&C cyclus documenten. Daarnaast kennen beide modellen ongeveer dezelfde risicocomponenten (6 stappen model van Deventer) die in samenhang via een cyclus worden uitgevoerd. In aanvulling op de zes stappen die Deventer uitvoert (zie paragraaf 2.5) kent COSO/ERM nog de twee extra stappen ‘Bewaking’ en ‘Reactie op risico’s’.

De RISMAN methode is een gebruikelijke methode om een integrale risicoanalyse op grote (infrastructuur) projecten uit te voeren. De methode kent, net als het Deventer model, de verschillende stappen in het risicomanagementproces van identificeren/analyseren via het kiezen en uitvoeren van beheersmaatregelen tot evalueren en actualiseren. Dit alles in een cyclisch proces.

De RISMAN methode beoordeelt een project vanuit 7 invalshoeken de zogenaamde ‘RISMAN brillen’.

○
Politiek/bestuurlijk
○
Financieel/economisch
○
Juridisch/wettelijk
○
Technisch
○
Organisatorisch
○
Geografisch/ruimtelijk
○
Maatschappelijk

Bekende invalshoeken die ook het Deventer model hanteert (zie figuur paragraaf 1.2 en paragraaf 5.2 Identificeren/classificeren).

Door toepassing van het 6 stappen risicomanagementmodel van de gemeente Deventer wordt een focus aangebracht in het bereiken van de gestelde doelen. Wanneer het proces zoals omschreven in hoofdstuk 5 wordt doorlopen en daar bestuurlijk op wordt gestuurd, draagt het model bij aan het bereiken van de doelstellingen.

De positionering en verankering van het Deventer model biedt het management voldoende handvatten om risicomanagement vorm te geven.

Voor de middellange en lange termijn is het van belang dat Deventer blijft door ontwikkelen. Vragen die daarvoor een antwoord vergen zijn:

Wat is de Deventer ambitie ten aanzien van de gewenste mate van door ontwikkeling in RM? Risicomanagement is niet alleen een cyclisch proces van de zes stappen van context tot rapporteren en evalueren. Het is meer dan dat. Denk daarbij aan cultuur, communicatie, managementstijl en dergelijke. De samenhang en ordening van deze factoren vormen samen het succes van risicomanagement.

Uit een uitgebreid onderzoek naar risicomanagement modellen en verschillen tussen private en publieke organisaties is gebleken dat een aantal (succes)factoren van invloed zijn op het welslagen van risicomanagement.

Deze factoren hebben invloed op de mate van door ontwikkeling van het risicomanagementmodel. Om in Deventer een bepaalde gewenste mate van volgroeidheid te bereiken is het van belang om in deze succesfactoren te groeien. In onderstaande tabel worden deze succesfactoren in het kort beschreven.

Governance	Wordt gezien als de transparante rollen en verantwoordelijkheden van het management (Directie) en het bestuur (Raad en College) ten opzichte van het risicomanagementproces. Deze vervolgens integreren niet alleen in de operationele bedrijfsprocessen maar ook in de strategische besluitvormingsprocessen. Vervolgens is het op een open wijze verantwoording afleggen en communiceren over risicomanagement een onderdeel van governance.
I(information	T(echnologie) De wijze waarop software op een effectieve en efficiënte wijze de risicomanagementprocessen ondersteunt.
Methoden en technieken	De wijze waarop diverse methoden en technieken voor de ondersteuning van de uitvoering van het risicomanagementproces worden gebruikt.
Kennis en ervaring	Dit betreft de kennis en ervaring van mensen die betrokken zijn bij het risicomanagementproces. De zogenaamde risico intelligentie van de organisatie.
Cultuur	Wordt gezien als de collectieve houding en gedrag van bestuur, management en medewerkers ten opzichte van het risicomanagementproces en de verantwoordelijkheid daarvan in het risicomanagement proces. Risico’s worden beloond. De leiding heeft een voorbeeldfunctie en er is geen ‘blame’ cultuur.
Risicomanagementproces	Dit betreft de wijze waarop de stappen vaststellen van de context, risico identificatie, risico classificering/kwantificering, bepalen beheersmaatregelen, beheersmaatregelen toetsen, rapporteren en evalueren en tot slot het communiceren worden gerealiseerd. Hierbij is de integratie met de bedrijfsprocessen en het bereiken van de strategische doelstellingen essentieel.
Compliance	Hiermee wordt niet alleen het naleven van de wet- en regelgeving omtrent risicomanagement (BBV) bedoeld maar ook de interne richtlijnen, procedures en gedragscodes die betrekking hebben op de uitvoering van het risicomanagementproces.

Doorontwikkelen en leren

Een bepaalde mate van volgroeidheid in RM is te bereiken door je als organisatie telkens af te vragen (evaluatiefase) wat ook alweer de reden is voor risicomanagement en vervolgens de effecten te benoemen en te beoordelen. Dergelijk onderzoek naar effectiviteit van risicomanagement komt nog weinig voor.

Effectmeting is mogelijk door bijvoorbeeld eenvoudige schattingen te maken van het verloop van de Total Cost of Risk (TCOR) in de tijd. Concreet betekent dit dat jaarlijks een schatting wordt gemaakt van de kosten van het risicomanagementproces, de beheersmaatregelen en de kosten van onlangs opgetreden risico’s. Betrek hierbij ook de niet-financiële effecten van risicomanagement zoals publiekstevredenheid en veiligheid (bijvoorbeeld uitkomsten van de omgevingsmonitor programma Leefomgeving) en rapporteer hierover aan de raad en de burger.

Durf samen met betrokkenen gefundeerde schattingen te maken, trends in effectiviteit van risicomanagement op te merken en daar vervolgens naar te handelen. Op die wijze kan risicomanagement nog beter haar meerwaarde bewijzen voor het effectiever en efficiënter behalen van onze (publieke) doelstellingen.

Over de grenzen heen kijken

Een activiteit en daarmee risicomanagement stopt niet bij de grenzen van de gemeente Deventer. De visie voor risicomanagement moet aansluiten bij de regionale ambities van Deventer. Breng in de verschillende (regionale) samenwerkingsverbanden het beleid omtrent risicomanagement van Deventer al vroegtijdig onder de aandacht van de participanten. Hoe gaan we om met lokale risico’s in relatie tot de regionale (samenwerkings-) risico’s. Dit biedt duidelijkheid over waar je staat en wat je eventueel kan verwachten op het gebied van risico’s. Het risicomanagementbeleid van Deventer zal daar in de komende jaren in gaan doorontwikkelen. Denk bijvoorbeeld aan de samenwerking op het gebied van de 3D’s, verbonden partijen, gesubsidieerde instellingen maar ook in DOWR verband.

Stuk voor stuk uitdagingen om aan te grijpen en van te leren.

5. Risicomanagementproces

Een goed functionerend risicomanagementsysteem is gebaseerd op uitgangspunten en doelstellingen die door de organisatie (risico eigenaren) worden onderkend en in het beleid zijn geformuleerd. Dit vormt gelijk het referentiekader bij het continu doorlopen van het risicomanagementproces.

Vanuit het vakgebied begint risicomanagement met het formuleren van uitgangspunten en doelstellingen. Vervolgens wordt een cyclisch proces doorlopen dat start met het benoemen van de context en vervolgens via identificatie en classificatie/kwantificatie van risico’s leidt tot het formuleren en implementeren van beheersmaatregelen. Na rapportage en evaluatie start dit proces opnieuw.

Hiervoor is een redelijk algemeen risicomanagementproces voorhanden dat is gebaseerd op 5 of 6 verschillende stappen. Zoals in hoofdstuk 1 aangegeven kent Deventer een risicomanagementproces van 6 stappen.

Hieronder lichten we de verschillende stappen beknopt toe. Een uitgebreide instructie voor uitvoering van deze 6 stappen is opgenomen in bijlage 3.

5.1 Context

Waarover gaat het en wat willen we bereiken?

Risicomanagement is geen doel op zich maar een middel. Het is daarom belangrijk om na te gaan wat ermee moet worden bereikt. In deze stap wordt gekeken naar intern en externe aspecten die van belang zijn voor de risico analyse. Het gaat om vragen als: Wat is het doel? Waar sta je nu? Waardoor wordt je verrast? Zijn er zaken die het bereiken van het doel negatief beïnvloeden? Heb je het gevoel in control te zijn en overzie je de zaken? Wat gaat er mis zonder risicomanagement?

Met behulp van deze informatie wordt de doelstelling van de risicoanalyse vastgesteld of wordt besloten geen analyse uit te voeren.

Deze stap leidt tot een onderbouwd antwoord op de vraag: Wat gaan we doen en wie is waarvoor verantwoordelijk?

5.2 Identificeren en classificeren

Wat kan ons overkomen?

In deze stap wordt geprobeerd om een beeld te krijgen van gebeurtenissen die het behalen van de doelstellingen kunnen belemmeren of vertragen.

Om een zo breed mogelijk beeld te krijgen van de risico’s wordt vanuit meerdere invalshoeken gekeken naar het te bereiken doel. De invalshoeken voor Deventer zijn o.a.:

Interne beïnvloedingsfeer	Externe beïnvloedingsfeer
Technisch	Natuur
Organisatorisch	Economie/markt
Ruimtelijk/planologisch	Juridisch/wettelijk
Politiek/bestuurlijk	Sociaal/maatschappelijk
Financieel/economisch

Het gaat er dus om of alles in beeld komt en of dit beeld actueel is.

Deze stap leidt tot een onderbouwd antwoord op de vraag: Zijn de risico’s in beeld en is het actueel?

5.3 Classificeren en kwantificeren

Wat zijn de belangrijkste risico’s?

Na het in beeld brengen van de risico’s worden deze toegewezen aan risico eigenaren. Deze personen zijn operationeel verantwoordelijk voor het risico. Zij analyseren en beoordelen de risico’s in termen van kansen (waarschijnlijkheid) en verwachte omvang van het gevolg (impact).

Classificeren

Deze risicoweging is in Deventer gebaseerd op basis van indeling in risicoklassen.

In deze fase worden de geïdentificeerde risico’s stuk voor stuk geanalyseerd en beoordeeld. Voor elk risico wordt de kans van optreden (waarschijnlijkheid) en de mogelijke omvang van het gevolg (impact) bepaald. Door de risico’s op deze wijze te classificeren wordt ordening aangebracht waarmee wordt bepaald welke risico’s de belangrijkste zijn en waarop de beheersingsmaatregelen moeten worden geconcentreerd. Hiermee ontstaat inzicht in de mate van risicogevoeligheid die wordt aangeduid met een zogenaamde risicoscore.

In deze fase wordt antwoord gekregen op de volgende twee onderzoeksvragen:

1.
Wat is het geschatte gevolg (omvang/impact) van het risico?
2.
Wat is de kans (waarschijnlijkheid) dat het risico daadwerkelijk optreed?

Voor het beantwoorden van deze twee vragen hanteert Deventer de volgende risicoklassen

Classificering van het gevolg (impact)

Als een risico optreedt, kan dit op meerdere terreinen gevolgen hebben. Denk daarbij aan;

○
Politieke gevolgen
○
Maatschappelijke of organisatorische gevolgen
○
Juridische gevolgen
○
Financiële gevolgen

In deze fase van het proces wordt van ieder risico bepaald wat het gevolg is als het risico optreed. Hieronder volgt een leidraad voor classificering van de gevolgen op bovenvermelde terreinen;

Score gevolg	Politiek	Maatschappelijk	Juridisch	Financieel
1 = Zeer beperkt	Zeer beperkt	Geen gevolgen	Geen gevolgen	€ 1 < € 100.000
2 = Beperkt	Onrust bij portefeuillehouder	Onrust binnen de gemeentelijke organisatie	Mogelijk gezichtsverlies	€ 100.000 < € 500.000
3 = Redelijk	Onrust binnen college	Onrust/verontwaardiging bij bewoners of instellingen	Procedures en mogelijke claims	€ 500.000 < € 1.500.000
4 = Aanzienlijk	Onrust in de Raad	Onrust/verontwaardiging in grotere groepen (regionale pers)	Langlopende procedures en claims	€ 1.500.000 < € 3.000.000
5 = Ernstig	Wethouder in de problemen	Grote onrust/verontwaardiging (landelijke pers)	Grote aansprakelijkheden en claims	≥ € 3.000.000

Voor het bepalen van risicoscore (zie hieronder) is het van belang dat na het invullen van de verschillende gevolgen wordt uitgegaan van het criterium met de hoogste score. De uitkomst daarvan zal worden meegenomen op de risicokaart.

Voorbeeld

Wanneer bij het optreden van een bepaald risico een politiek gevolg van 3 (redelijk) wordt verwacht met een financieel gevolg van € 2,5 miljoen (score 4 - Aanzienlijk) dan moet worden uitgegaan van de hoogste score en dat is in dit geval dus 4 – Aanzienlijk.

Classificering van de kans (waarschijnlijkheid)

Voor het bepalen van de kans van optreden hanteert Deventer de volgende classificering;

Kans (waarschijnlijkheid) van optreden

Score waarschijnlijkheid (kans)	Waarschijnlijkheid (kans)
1 = Onwaarschijnlijk	> 0% en ≤ 5%
2 = Kans is klein	> 6% en ≤ 25%
3 = Reële kans	> 26% en ≤ 50%
4 = Kans is groot	> 51% en ≤ 75%
5 = Zeer grote kans (zekerheid)	> 75%

In bovenstaande twee tabellen zijn voor de indeling expliciet de scores 1 t/m 5 gehanteerd. Deze scores zijn namelijk de basis voor het indelen van de scorekaart (zie hieronder).

Resultaat

Wanneer voor ieder risico een score op beide onderzoeksvragen is bepaald, wordt daarmee de risicoscore bepaald.

Risicoscore = score kans (verwachting) x score gevolg (impact)

Voorbeeld 1.

Een risico met een aanzienlijk maatschappelijk gevolg (verontwaardiging in grote groepen en regionale pers – score 4) en een kans van optreden van 50% (reële kans – score 3) geeft een risicoscore van 12 (= 4 x 3).

Voorbeeld 2.

Zo krijgt een risico met een financieel gevolg van € 1.750.000 (klasse 4) en een kans van optreden van 20% (klasse 2) een risicoscore van 8 (= 4 x 2).

Wanneer vervolgens de scores per risico in een risicokaart (matrix) worden geplaatst ontstaat er inzicht in de mate van risico gevoeligheid.

Figuur: Scorekaart (algemeen

Bij het intekenen van een risicoscore geldt dat hoe hoger de risicoscore;

○
Hoe roder de kleur
○
Hoe groter de impact
○
Hoe hoger de kans op optreden
○
Hoe belangrijker het is om maatregelen te nemen.

Deze risicokaart wordt direct gebruikt als hulpmiddel om te bepalen aan wie welk risico wordt gemeld. Primair is het college verantwoordelijk voor alle risico’s en de raad is eindverantwoordelijk. Daarom is het belangrijk om afspraken te maken over het melden van risico’s. We hanteren het principe dat hoe hoger de risicoscore, hoe hoger het niveau in de organisatie waar het risico bekend moet zijn. Risico’s met een risicoscore van 12 en hoger worden altijd gerapporteerd aan de raad via de paragraaf weerstandsvermogen en risicobeheersing van de P&C cyclische rapportages. Risico’s met een risicoscore kleiner dan 12 worden niet gerapporteerd via de paragraaf weerstandsvermogen en risicobeheersing van de P&C cyclische rapportages. Het betreffen uiteraard wel risico’s waarop risicobeheersing wordt toegepast en integraal worden meegenomen bij het bepalen van de benodigde weerstandscapaciteit.

Wanneer zich buiten de cyclus om substantiële ontwikkelingen voordoen dan geldt een actieve informatieplicht.

Substantieel wil zeggen:

○
Nieuw risico met risicoscore 15 of hoger (financiële impact > € 500.000)
○
Bestaand risico stijgt naar 15 of hoger (stijging potentiële impact naar € 500.000 of hoger)

Deze stap leidt tot een onderbouwd antwoord op de vraag: Welke risico’s moet als eerste worden aangepakt?

Kwantificeren

Op basis van de classificatie worden risico’s ingedeeld naar kans en gevolg en kan uit de weergave snel worden bepaald welke risico’s prioriteit vereisen. Dit geeft nog geen indicatie voor het aanhouden van weerstandsvermogen. Hiervoor is kwantificering vereist. Dit wordt verkregen door enkel de risico’s met een financieel gevolg te beoordelen. Voor het beoordelen van het weerstandsvermogen en het opstellen van de paragraaf weerstandsvermogen (zie verder hoofdstuk 6) gaat Deventer uit van onderstaande financiële classificering en impactanalyse;

Figuur. Scorekaart (financieel)

5.4 Beheersmaatregelen bepalen

Hoe kunnen we de risico’s beheersen?

Nu de risico’s in kaart zijn gebracht en de mate van focus is aangebracht moet worden nagedacht over de manier waarop de toprisico’s zo goed mogelijk worden beheerst. Het is goed te realiseren dat het doel niet is; ‘koste wat het kost’ risico’s vermijden. In deze stap vindt de overweging plaats wat met het risico gaat gebeuren.

Risk appetite

Er zijn vier vormen van omgang met risico’s;

1.
Risico’s vermijden – doelen aanpassen, activiteiten staken, desinvesteren, etc.
2.
Risico’s reduceren – kans en gevolg verkleinen d.m.v. voorzorg- en bijsturingsmaatregelen, etc.
3.
Risico’s overdragen – overdragen d.m.v. verzekeren, diversificatie (spreiden), delen, etc.
4.
Risico’s accepteren – accepteren van de gevolgen (onder voorwaarden).

De manier waarop met risico’s wordt omgegaan, wordt mede bepaald door de omgeving van de opdracht, het project, de afdeling of de organisatie. De context en de uitgangspunten die eerder zijn gesteld zijn hier van belang. Oftewel wat is de ‘risk appetite’. Deze bepalen namelijk hoeveel risico je kan, mag en wilt lopen.

Als een beheersmaatregel wordt genomen moet deze wel effectief en proportioneel zijn. Soms is het goedkoper het risico te nemen.

Netto verwachte omvang

Het uitvoeren van het beheersmaatregelonderzoek levert een set aan beheersmaatregelen op. Wanneer de beheersmaatregelen met een positief financieel effect op het financiële gevolg van een risico in mindering wordt gebracht resulteert de ‘netto verwachte omvang’.

Deventer maakt daarmee onderscheid tussen de bruto verwachte omvang en netto verwachte omvang van een risico;

Bruto verwachte omvang =

Verwachte gevolgschade van een risico

-/- vermindering door beheersmaatregelen

-/- compensatie van derden (verzekering, Rijk, provincie, etc.)

-/- al gedekt/voorzien (reserve, voorziening, stelpost, etc.)

-----------------------------------------------------------------------------------

Netto verwachte omvang =

Nog te dekken gevolg van een risico (restrisico)

Deze netto verwachte omgang vormt, in combinatie met de verwachte kans, uitgangspunt bij het bepalen van de totale omvang aan risico’s en het benodigde weerstandsvermogen (zie hoofdstuk 6).

Een regelmatig voorkomende situatie van een vermindering door het treffen van een beheersmaatregel is, dat binnen een infrastructureel project een risicovoorziening (stelpost) wordt gevormd voor onvoorziene uitgaven dan wel risico’s. Ook komt het voor dat bepaalde risico’s worden verzekerd waarmee het totale risico van het betreffende project afneemt.

Deze stap leidt tot een onderbouwd antwoord op de vraag: Welke beheersmaatregelen worden toegepast?

Weerstandsvermogen aanhouden of niet?

Een vraag die bij deze stap eveneens moet worden gesteld is of voor de netto verwachte omvang (restrisico) weerstandsvermogen moet worden aangehouden. Hieronder staan de criteria die van belang zijn bij het bepalen of weerstandsvermogen moet worden aangehouden.

Criteria voor aanhouden weerstandsvermogen

1.
Voordat een risico wordt opgenomen in de weerstandsparagraaf zijn de beheersmaatregelen ter reductie van de kans en gevolg van optreden van het risico (economisch) volledig toegepast. Denk hierbij onder andere ook aan mogelijke bezuinigingen of herprioritering van gestelde doelen.
2.
Het gevolg van het risico moet financieel van aard zijn. Dit betekent dat de onverwachte gebeurtenis primair een financieel gevolg moet hebben.
3.
Het financiële risico is niet op andere wijze (bijvoorbeeld via verzekering, voorziening, bestemmingsreserve of bijdrage van derde) afgedekt. Als een deel van het risico is afgedekt moet dit deel op het totaal in mindering worden gebracht (netto verwachtingswaarde – zie hierboven).
4.
De kans en het financiële gevolg zijn voldoende onderbouwd. Dit betekent dat aan zowel de kans als het financiële gevolg een betrouwbaar onderbouwing (oordeel) ten grondslag ligt. Dit kan bijvoorbeeld zijn gebaseerd op onderliggende calculaties of aanwijsbare ervaringen uit eerder voorgevallen situaties.
5.
Het financiële gevolg kan niet in de begroting (binnen het huidige) budget worden opgevangen. Ook niet door herprioritering.
6.
Bij risico’s die niet binnen 1 jaar zullen optreden (dus risico’s > 1 jaar) moeten eerst worden beoordeeld of er extra beheersmaatregelen mogelijk zijn ter reductie. Vervolgens moet worden gekeken, voor het opvangen van het financieel gevolg, naar herprioritering van het huidig budget of eventueel een verzoek voor extra middelen in de eerstvolgende bestuursrapportage.
7.
De omvang van het financiële gevolg is > € 50.000

In deze beleidsnota wordt hier verder niet op ingegaan. Naast het herijken van de beleidsnota uit 2007 wordt onderzoek gedaan naar het ‘weerstandsvermogen: meer dan een rekenkundige oefening’. Bij dit onderzoek zal onder andere worden gekeken naar de bepaling van het weerstandsvermogen en risicoweging.

5.5 Beheersmaatregelen toepassen en toetsen

Hoe worden de beheersmaatregelen toegepast?

Voor de belangrijkste risico’s zijn nu de verschillende alternatieven afgewogen (balancing the risks). Risico’s die niet zijn overgedragen, geaccepteerd of met de juiste beheersmaatregelen zijn vermeden moeten zelf worden beheerst. Hiervoor zijn bij de vorige stap beheersmaatregelen bedacht. Bij deze stap komt het aan op beantwoording van de volgende vragen;

○
Hoe wordt de uitvoering aangepakt?
○
Levert de beheersmaatregel het gewenste effect?

Het resultaat van deze stap is een duidelijk overzicht van de verdeling van de risico’s over verschillende programma’s en verantwoordelijken. Vervolgens ontstaat een beeld van de beheersmaatregelen die zijn toegepast met de bijbehorende positieve en/of negatieve effecten. Wanneer deze maatregelen en uitkomsten bijvoorbeeld in een database worden bijgehouden kan dit integraal ter beschikking worden gesteld en door andere risico-eigenaren worden geraadpleegd. Dit levert inzicht op in beheersmaatregelen die wel effectief zijn (in een bepaalde situatie) en welke niet.

Deze stap leidt tot een onderbouwd antwoord op de vraag: Hoe worden de beheersmaatregelen toegepast?

5.6 Rapporteren en evalueren

Wat moet worden verantwoord, wat is er veranderd en wat is er geleerd?

5.6.1 Rapporteren

Het college is gehouden om relevante informatie over de ontwikkeling van risico’s en de risicopositie tijdig en ongevraagd onder de aandacht van de raad te brengen.

Betreffende informatie geeft in ieder geval antwoord op de volgende vragen;

○
Welke risico’s zijn te signaleren en wat houden ze in?
○
Wat is de kans van optreden en de ingeschatte omvang van de risico’s (risicokaart) in relatie tot de beschikbare weerstandscapaciteit (ratio weerstandsvermogen)?
○
Welke maatregelen zijn te treffen?
○
Wat is het effect geweest van genomen maatregelen?
○
In hoeverre is het systeem/methodiek van risicomanagement voldoende effectief geweest om de risico’s te ondervangen (wat is het effect geweest van de genomen maatregelen)?
○
Wanneer, aan wie en in welke vorm wordt periodiek gerapporteerd?

Bij de rapportage over de risico’s is sprake van gelaagdheid. Op niveau van de dagelijkse aansturing is het logisch dat er meer inzicht is in de individuele risico’s en het effect van de maatregelen. De gelaagdheid in rapporteren is in paragraaf 5.3 vormgegeven op basis van de risicoscore. Risico’s met een score van 12 of hoger worden periodiek, via de paragraaf weerstandsvermogen en risicobeheersing van de P&C cyclische rapportages, gemeld aan de raad. In de zomerrapportage en de najaarsrapportage wordt gerapporteerd over de stand van zaken met betrekking tot de risico’s.

Risico’s worden in de rapportage niet geclusterd. Dit betekent dat elk risico met een score van 12 of hoger wordt gerapporteerd. Dit levert inzicht in de opbouw van het totale actuele risico en bevordert de transparantie en controleerbaarheid.

De gemeente Deventer kent een actieve informatieplicht. Buiten de reguliere cyclus is er een meldingsplicht aan de raad voor nieuwe risico’s met een risicoscore van 15 of hoger (potentiële financiële impact > € 500.000).

Het resultaat van deze stap is een periodieke risicorapportage waarin in ieder geval antwoord wordt gegeven op de hierboven vermelde vragen. Wettelijk is gesteld dat in ieder geval bij de begroting en jaarrekening een paragraaf weerstandsvermogen en risicobeheersing wordt opgesteld. Deventer heeft daar de voorjaarsnota aan toegevoegd.

Deventer hanteert naast de P&C cyclus rapportages geen aparte risicomanagementrapportage. Zij verantwoordt haar risicobeleid via de P&C cyclus rapportages aan de raad.

Kort samengevat wordt het volgende gerapporteerd:

Rapportage document

Onderwerp

Voorjaarsnota, Begroting en Jaarrekening

-
Specifieke risico’s (en gerelateerde kansen)
-
Generieke risico’s (niet gekwantificeerd)
-
Beheersmaatregelen en effect
-
Omvang (onderdelen) beschikbare weerstandscapaciteit
-
Omvang benodigde weerstandscapaciteit (o.b.v. simulatie en zekerheidsfactor)
-
Uitkomst ratio weerstandsvermogen
-
Ontwikkeling weerstandsvermogen
-
Welke risico’s zijn opgetreden?
-
Welke beheersmaatregelen hebben effect gehad?
-
Wat zijn de kosten geweest van de beheersmaatregelen?

5.6.2 Evalueren

Een groot deel van het proces is nu afgerond. De risico’s zijn geïnventariseerd en geanalyseerd en er zijn beheersmaatregelen bepaald, uitgevoerd en getoetst. Het proces is daarmee nog niet klaar.

Risicomanagement is een cyclisch proces. Als uit de evaluatie blijkt dat het effect van de maatregel niet is wat het had moeten zijn, dan moet er worden bijgestuurd.

Het is belangrijk om op bepaalde momenten (minimaal 1 keer per jaar) terug te kijken om beter vooruit te kunnen kijken. Hierdoor wordt het risicobewustzijn binnen de organisatie verder aangescherpt.

Binnen de programma’s zal minimaal 1 keer per jaar een kwaliteitsanalyse moeten worden gemaakt en tijdens een bijeenkomst met de risico-eigenaren moeten worden besproken.

6. Weerstandsvermogen

Een belangrijk onderdeel van risicomanagement is het weerstandsvermogen.

In dit hoofdstuk wordt de opbouw van het weerstandsvermogen gegeven en de elementen die daaraan zijn gekoppeld. Risicomanagement is gedefinieerd als het identificeren en kwantificeren van risico’s en het bepalen van activiteiten die de kans van optreden en/of de gevolgen van risico’s beheersbaar houdt. Deze activiteiten worden beheersmaatregelen genoemd. Een belangrijk onderdeel van de beheersmaatregelen wordt gevormd door het op niveau houden van de financiële positie door het opbouwen van weerstandsvermogen. Door risico’s in kaart te brengen en beheersmaatregelen te treffen kan de benodigde weerstandscapaciteit worden verlaagd.

Een beroep op het weerstandsvermogen moet worden gezien als de allerlaatste optie om de gevolgen van een optredend risico op te vangen.

Definitie

Volgens artikel 11 van het BBV bestaat het weerstandsvermogen uit de relatie tussen ‘de weerstandscapaciteit, zijnde de middelen en mogelijkheden waarover de gemeente beschikt of kan beschikken om niet begrote kosten te dekken’ en ‘alle risico’s waarvoor geen maatregelen zijn getroffen en die van materiele betekenis kunnen zijn in relatie tot de financiële positie.’ Deze juridische formulering wordt hieronder vertaald naar relatie

Het woord ‘vermogen’ in de term weerstandsvermogen verwijst niet alleen naar geld. Het is een maatstaf voor de mate waarin Deventer in staat is om nadelige gevolgen van risico’s op te vangen.

Weerstandsvermogen: Is de mogelijkheid van de gemeente om financiële tegenvallers op te kunnen vangen zonder dat dit invloed heeft op het uitvoeren van de programma’s.

Voldoende weerstandsvermogen kan voorkomen dat het optreden van een risico dwingt tot bezuinigingen. In hoeverre Deventer in staat is om risico´s op te vangen hangt af van:

○
De middelen die Deventer vrij kan maken om de risico’s mee op te vangen; oftewel een inventarisatie van de beschikbare weerstandscapaciteit. Hoeveel middelen zijn er beschikbaar?
○
De risico’s die Deventer loopt; oftewel een inventarisatie van de risico’s, de benodigde weerstandscapaciteit. Hoeveel middelen hebben we nodig?

Anders geformuleerd kan de verhouding tussen de middelen waarover Deventer kan beschikken om onverwachte, niet begrote financiële tegenvallers op te vangen als volgt worden gepresenteerd;

Beschikbare weerstandscapaciteit

Benodigde weerstandscapaciteit = Ratio weerstandsvermogen

Deze twee soorten weerstandscapaciteit worden in paragraaf 6.2 en 6.3 verder toegelicht.

6.1 Inhoud paragraaf weerstandsvermogen

Conform artikel 9, lid 2 van het BBV moet de gemeente Deventer in de begroting en jaarrekening een paragraaf weerstandsvermogen en risicobeheersing opnemen. Artikel 11, lid 2 voegt daaraan toe dat de paragraaf weerstandsvermogen en risicobeheersing tenminste het volgende moet bevatten:

○
Een inventarisatie van de weerstandscapaciteit;
○
Een inventarisatie van de risico’s;
○
Het beleid omtrent de weerstandscapaciteit en de risico’s.

Naast de geïnventariseerde en gekwantificeerde risico’s loopt Deventer, onlangs realistische ramingen van investeringen en exploitatiebudgetten, risico’s als gevolg van economische vooruitzichten en bestuurlijke besluitvorming. Voorbeelden daarvan zijn de algemene uitkering (gemeentefonds), verkoop van gronden en panden, de verbonden partijen, de garantstellingen en de nog te implementeren lopende bezuinigingen en faseringsverschillen. Dit zijn onzekerheden die niet zijn te omvatten in een gedefinieerd en afgebakend risico maar voor de sturing van de organisatie wel van belang zijn. Ze kunnen per slot van rekening een onverwacht, niet voorzien gevolg hebben voor de financiële positie van de gemeente Deventer. In de paragraaf worden deze onderwerpen in ieder geval opgenomen en als context (aanvullend) aan het bestuur meegegeven, zodat bij de besluitvorming over het weerstandsvermogen daar rekening mee kan worden gehouden.

De raad wordt via de voorjaarsnota, (meerjaren)begroting en de jaarrekening op de hoogte gehouden van de financiële toprisico’s en de gevolgen daarvan voor het aanhouden van weerstandsvermogen (financiële positie). Wij presenteren dan een actueel overzicht van de financiële risico’s, inclusief risicoscore en risicokaart waarbij eveneens een beoordeling van de omvang van het weerstandsvermogen wordt gegeven (moment opname).

Risico’s met een score gelijk of groter dan 12 lichten we toe. Zie voor bepaling van deze risicoscore paragraaf 5.3. Deze risico’s worden in de paragraaf enkelvoudig gepresenteerd. Ook wordt aangegeven welke risico’s daadwerkelijk zijn opgetreden. Vervolgens wordt toegelicht wat de nieuwe risico’s zijn en wordt aangegeven welke risico’s niet meer van toepassing zijn. Tenslotte wordt in de conclusie van de paragraaf een advies gegeven over maatregelen om het weerstandsvermogen te verbeteren of af te bouwen (afromen). Dit uiteraard afgestemd op de uitkomst van de risicoscore in combinatie met de algemene, niet gekwantificeerde onzekerheden zoals hierboven omschreven.

6.2 Beschikbare weerstandscapaciteit

De beschikbare weerstandscapaciteit is in het BBV (artikel 11, lid 1) omschreven als ‘de middelen en mogelijkheden waarover de gemeente beschikt of kan beschikken om niet begrote kosten te dekken’. Deventer rekent de volgende componenten tot de beschikbare weerstandscapaciteit:

○
Algemene reserves (balans)
- •
  Saldi reserve
- •
  Algemene reserve
- •
  Egalisatiereserve rente
- •
  Reserve grondexploitatie
- •
  Reserve uitkeringen
- •
  Reserve risico grondexploitatie¹
- •
  Reserve conjunctuur²
○
Onbenutte begrotingscapaciteit (exploitatie)
○
Onbenutte investeringscapaciteit (exploitatie)
○
Onbenutte belastingcapaciteit (exploitatie)
○
Stille reserves (balans)

Hieronder volgt een korte toelichting per component.

Conform het BBV (artikel 43, lid 1) worden de reserves onderscheiden naar algemene reserves en bestemmingsreserves.

Algemene reserves

De algemene reserve heeft een algemeen karakter en is vrij aanwendbaar.

Bij de algemene reserves wordt binnen de gemeente Deventer het volgende onderscheid gemaakt;

○
Algemene reserve waarbij rente wordt toegevoegd aan de reserve (balans):
Bij deze reserve wordt de rente aan de reserve toegerekend en kan daardoor volledig tot de beschikbare weerstandscapaciteit worden gerekend;
○
Algemene reserve waarbij rente wordt toegevoegd aan exploitatie:
Bij deze reserve wordt de rente structureel toegevoegd aan de exploitatie (inkomensfunctie). Wanneer de reserve wordt ingezet ter dekking van een calamiteit vindt structurele inkomstenderving in de exploitatie plaats. Dit is strijdig met de functie van het weerstandsvermogen. Het financiële beleid wordt aangetast door betreffende inkomstenderving. De algemene (exploitatie) reserves worden daarom niet meegerekend bij het bepalen van de beschikbare weerstandscapaciteit.

Bij inzet van iedere reserve geldt altijd dat de gemeente inkomsten derft (wegvallend rendement).

Bestemmingreserves

Een bestemmingsreserve is door de raad ingesteld voor het realiseren van een bepaald doel en daardoor niet inzetbaar voor de beschikbare weerstandscapaciteit. Indien noodzakelijk kan de raad de bestemming van een bestemmingsreserve wijzigen en daarmee bijvoorbeeld tijdelijk het weerstandsvermogen. Het moet hier uitdrukkelijk gaan om een noodsituatie die tijdelijk van aard is. De reservepositie moet meerjarig (binnen de begrotingstermijn) worden hersteld.

De met voetnoot gemarkeerde bestemmingreserves zijn specifiek ingesteld voor het opvangen van risico’s binnen een bepaald product. Deze twee rekenen we tot de beschikbare weerstandscapaciteit.

Onbenutte begrotingscapaciteit

Theoretisch gesproken is er enkel sprake van begrotingsruimte wanneer de begroting een overschot vertoont (meer baten dan lasten). Begrotingsruimte kan ook aanwezig zijn bij een sluitende begroting. Er zijn altijd onderdelen aan te wijzen die beïnvloedbaar zijn.

Indien beïnvloeding van deze onderdelen leidt tot extra vrijval van middelen, zonder dat dit een substantiële wijziging in het beleid tot gevolg heeft, dan kan dit deel worden beschouwd als onderdeel van de weerstandscapaciteit (de zogenaamde flexibiliteit van de begroting).

Voorbeelden zijn:

○
Post onvoorzien
○
Stelposten (o.a. stelpost autonome ontwikkelingen)
○
Middelen voor nieuw beleid
○
Extra bezuinigingen.

Onbenutte investeringscapaciteit

Van onbenutte investeringscapaciteit is sprake wanneer uit de investeringsplanning een positief resultaat blijkt en er geen onderhoudsachterstand is. In de praktijk van de afgelopen jaren is gebleken dat Deventer over (veel) meer investeringsinitiatieven beschikt dan er financiële middelen voorhanden zijn. Daaruit wordt geconcludeerd dat er geen onbenutte investeringscapaciteit beschikbaar is.

Hierbij wordt de volgende kanttekening geplaatst. Bij de investeringsplanning is rekening gehouden met prioritering van projecten. Voor een aantal van die projecten zijn nog geen contracten afgesloten of toezeggingen aan derden gedaan. Dit geeft de mogelijkheid om de, aan deze investeringen toegeschreven dekkingsmiddelen, bij calamiteiten, in te zetten voor dekking van de gevolgen van risico’s (heroverweging investeringsplanning). Het is aan de raad om dit instrument in te zetten voor het creëren van weerstandscapaciteit.

Onbenutte belastingcapaciteit.

Het verschil tussen de fictieve (toegestane) opbrengsten bij maximale heffing- en belastingtarieven en de begrote opbrengsten (op basis van feitelijke belastingdruk) vormt de onbenutte belastingcapaciteit. Bij dreigende tekorten beschikt de raad over mogelijkheden om deze onbenutte belastingcapaciteit in te zetten door de belastingdruk te verhogen (zie norm Artikel 12 – Financiële verhoudingswet (Fvw))..

Stille reserves

Stille reserves zijn de meerwaarden van bezittingen die tegen een lagere waarde op de balans worden gewaardeerd dan de opbrengstwaarde (economische- of marktwaarde). Hierbij moet worden gedacht aan de waarde van het onroerend goed (gebouwen en gronden) en aandelen (waardepapieren). Deze ‘overwaarde’ is enkel inzetbaar als weerstandscapaciteit wanneer het betreffende object binnen 1 jaar kan worden verkocht, zonder dat het bedrijfsproces hierdoor negatief wordt beïnvloed.

Stille reserves nemen we pas mee als onderdeel van de beschikbare weerstandscapaciteit als er door de raad expliciet een besluit is genomen om een stille reserve te incasseren. Deventer gaat voor de economische- of marktwaarde uit van de WOZ waarde van het betreffende gebouw. Concreet betekent dit dat de stille reserve van het gebouw het verschil is tussen de WOZ- en de boekwaarde.

Algemeen versus specifiek weerstandsvermogen

Deventer maakt onderscheid tussen specifiek en algemeen weerstandsvermogen. Het specifieke weerstandsvermogen is met name gebaseerd op de specifiek gekwantificeerde risico’s. Bekende voorbeelden zijn de risico’s met betrekking tot de grondexploitatie en bijstandsuitkeringen. Voor deze risico’s zijn specifieke (algemene) reserves ingesteld.

Daarnaast loopt Deventer, ondanks realistische ramingen van investeringen en exploitatiebudgetten, risico’s als gevolg van economische vooruitzichten en bestuurlijke besluitvorming. Voorbeelden daarvan zijn de algemene uitkering (gemeentefonds), verkoop van gronden en panden, de verbonden partijen, de garantstellingen en de nog te implementeren bezuinigingen en faseringsverschillen.

Ondanks dat deze reserves in benaming van elkaar verschillen en specifiek worden gevoed blijven de middelen alternatief aanwendbaar. Oftewel het betreffen allemaal algemene reserves die in hun totaliteit onderdeel vormen van de beschikbare weerstandscapaciteit.

Structureel versus incidenteel weerstandsvermogen

Deventer maakt onderscheid tussen structureel in te zetten weerstandsvermogen en incidenteel in te zetten weerstandsvermogen. Structureel weerstandsvermogen wordt gevormd door componenten die structureel tot de beschikbare weerstandscapaciteit behoren. Incidenteel weerstandsvermogen betreft de componenten in de balans of exploitatie die eenmalig kunnen worden gerekend tot de beschikbare weerstandscapaciteit.

Deventer kent de volgende componenten;

Structureel	Incidenteel
○ Onbenutte begrotingscapaciteit ○ Onbenutte investeringscapaciteit ○ Onbenutte belastingcapaciteit ○ Stelposten	○ Algemene reserves ○ Stille reserves ○ Post onvoorzien ○ Stelposten

6.3 Benodigde weerstandscapaciteit

Het totaal van de risico’s (met financiële gevolgen) die Deventer loopt, bepaalt de hoogte van de benodigde weerstandscapaciteit. Zoals in paragraaf 3.4 aangegeven gaat Deventer daarbij uit van netto verwachte omvang. Dit is het initiële (bruto) risico waarvan het effect van de beheersmaatregelen en eventuele compensatie van derden in mindering is gebracht.

Monte Carlo methode (simulatiemethode)

Wanneer alle individuele financiële risico’s bij elkaar worden opgeteld ontstaat een totaal van de risico’s en daarmee een bepaald gewenste omvang van het weerstandsvermogen. Dit beeld is nogal negatief. Het is namelijk vrijwel zeker dat niet alle risico’s zich tegelijkertijd zullen voordoen. Daarnaast zal niet ieder risico zich in maximale omvang voordoen. Om deze overschatting van de te lopen risico’s te voorkomen, maken we gebruik van de Monte Carlo simulatie methode. De Monte Carlo simulatie is een techniek waarbij een proces niet één keer maar vele malen wordt gesimuleerd, elke keer met andere startposities (willekeurig). Het resultaat van deze verzameling is een verdelingsfunctie die het hele gebied van mogelijke uitkomsten weergeeft.

Zekerheidsfactor

Op basis van deze simulatietechniek berekenen we welk bedrag er nodig is om de geïdentificeerde risico’s in financiële zin af te dekken. Hierbij wordt rekening gehouden met zekerheidspercentages. Deze percentages geven aan hoe waarschijnlijk het is dat de financiële gevolgen van de werkelijk opgetreden risico’s boven de berekende waarde uitkomt. Zo loopt Deventer bij een zekerheidspercentage van 60%, 40% kans dat de werkelijke financiële gevolgen boven het berekende bedrag ligt. Bij een zekerheidspercentage van 90% is de kans op een hogere uitkomst nog maar 10%. Een voorbeeld dat is toegepast bij de voorjaarsnota 2014:

Zekerheidspercentage	Omvang benodigde weerstandscapaciteit
5%	€ -
10%	€ -
15%	€ -
20%	€ 703.922
25%	€ 1.718.045
30%	€ 2.611.864
35%	€ 3.466.640
40%	€ 4.218.284
45%	€ 4.964.215
50%	€ 5.677.578
55%	€ 6.475.153
60%	€ 7.505.401
65%	€ 8.623.685
70%	€ 9.621.087
75%	€ 10.790.239
80%	€ 12.063.026
85%	€ 13.565.021
90%	€ 15.318.919	<- Zekerheidspercentage Deventer
95%	€ 18.371.092

Uit de tabel blijkt dat het bedrag aan benodigde weerstandscapaciteit toeneemt naarmate het zekerheidspercentage hoger is.

Gemeente Deventer hanteert bij de berekening van de omvang van de benodigde weerstandscapaciteit een zekerheidspercentage van 90%. Dit percentage wordt geadviseerd door het Nederlands Adviesbureau voor Risicomanagement (NAR) en ook toegepast door onder andere de gemeenten Arnhem en Breda.

Minimumnorm

Deventer houdt naast de geïnventariseerde risico’s rekening een extra buffer voor financiële tegenvallers waar niemand rekening mee heeft gehouden. Deze zogenaamde minimumnorm biedt een soort veiligheidsmarge.

Voor het bepalen van de minimumnorm wordt de artikel 12 norm van de Financiële verhoudingswet (Fvw) gehanteerd (zie artikel 23, lid 1 – Fvw). Hierin wordt uitgegaan van 2% van de algemene uitkering uit het gemeentefonds aan de gemeente en 2% van de OZB capaciteit.

Per saldo wordt de omvang van de benodigde weerstandscapaciteit als volgt bepaald:

Benodigde weerstandscapaciteit = uitkomst simulatiemodel + minimumnorm

6.4 Beoordeling weerstandsvermogen

Het weerstandsvermogen bestaat uit de beschikbare weerstandscapaciteit gedeeld door de benodigde weerstandscapaciteit. Oftewel de ratio weerstandsvermogen.

De wetgever heeft voor het weerstandsvermogen geen absolute norm gesteld. Gemeenten moeten zelf een beleidslijn en normering bepalen.

Het is belangrijk om te weten of er sprake is van een toereikend weerstandsvermogen. Hebben we genoeg middelen om de gevolgen van risico’s op te kunnen vangen? Het antwoord is ja, wanneer de beschikbare capaciteit gelijk of groter is dan de benodigde weerstandscapaciteit. Oftewel de ratio weerstandsvermogen is gelijk of groter dan één:

Beschikbare weerstandscapaciteit

Benodigde weerstandscapaciteit

≥ 1

Voor de beoordeling van de uitkomst van het weerstandsvermogen hanteert Deventer de volgende tabel:

Beoordelingstabel weerstandsvermogen
Categorie	Ratio weerstandsvermogen	Betekenis
A	X > 1,5	Uitstekend
B	1,2 < X < 1,5	Ruim voldoende
C	1 < X < 1,2	Voldoende
D	0,8 < X < 1	Matig
E	0,8 < X < 0,5	Onvoldoende
F	X < 0,5	Slecht

Deze beoordelingstabel biedt het college en de raad snel inzicht in de kwalificering van de ratio weerstandsvermogen

Iedere categorie vergt een andere manier van handelen. Voor de categorieën D, E en F geldt dat de beschikbare weerstandscapaciteit onvoldoende is. Er zijn dan twee mogelijkheden;

1.
De beschikbare weerstandscapaciteit moet worden aangevuld.
2.
De benodigde weerstandscapaciteit terugbrengen door extra beheersmaatregelen.

Voor de categorie C geldt geen specifieke handeling. Van belang is om deze uitkomst in stand te houden. Voor de categorieën A en B geldt dat de beschikbare weerstandscapaciteit kan worden afgeroomd. Uit voorzichtigheid en rekening houdend met fluctuaties in de benodigde weerstandscapaciteit wordt de afroming stapsgewijs uitgevoerd. Bijvoorbeeld door ieder jaar wanneer een overschot blijkt, dit overschot met maximaal 50% af te romen.

6.5 Beleid weerstandsvermogen

Het beleid ten aanzien van het weerstandsvermogen is samen te vatten in het antwoord op de vraag ‘hoe wordt het weerstandsvermogen op peil gehouden?’.

Een beroep op het weerstandsvermogen (of liever gezegd de beschikbare weerstandscapaciteit) moet worden gezien als een laatste optie om de gevolgen van risico’s op te vangen. Tot aan het moment van optreden heeft de risico eigenaar nog de mogelijkheid om maatregelen te treffen. Het cyclische risicomanagementproces is daarvoor zijn gereedschap/instrument. Wanneer het risico eenmaal optreedt rest nog louter symptoombestrijding. Met de aanwezigheid van weerstandsvermogen wordt als het ware ‘tijd gekocht’ om weloverwogen keuzes te maken voor aanpak van de gevolgen. Vervolgens wordt opnieuw de risicomanagementcyclus doorlopen om bijsturingsmaatregelen te treffen.

In de voorjaarsnota, begroting en jaarrekening wordt de paragraaf weerstandsvermogen en risicobeheersing gepresenteerd. Als uit deze paragraaf (risicorapportage) blijkt dat het weerstandsvermogen matig (D), onvoldoende (E) of slecht (F) is, moet in dezelfde rapportage worden aangegeven welke concrete maatregelen zijn getroffen om het weerstandsvermogen op peil te brengen.

Wanneer een beroep wordt gedaan op de beschikbare weerstandscapaciteit wordt in de eerst volgende (bovenvermelde) P&C cyclus rapportage opnieuw de ratio weerstandsvermogen bepaald. Indien noodzakelijk worden concrete maatregelen tot aanvulling worden opgenomen.

Aanpak

Bij het op peil houden van het weerstandsvermogen kunnen zich, met uitzondering van een neutrale uitkomst, twee situaties voordoen;

1.
De beschikbare weerstandscapaciteit moet worden aangevuld
2.
De beschikbare weerstandscapaciteit kan worden afgeroomd

Ad 1) Het aanvullen van de weerstandscapaciteit heeft twee oorzaken;

○
als een beroep wordt gedaan op de omvang van de weerstandscapaciteit;
○
als de risico’s zijn toegenomen.

Als een beroep wordt gedaan op de weerstandscapaciteit moet bij de besluitvorming (B&W nota) direct worden aangegeven met welke maatregelen het weerstandsvermogen binnen maximaal 1 begrotingsjaar weer op niveau wordt gebracht.

Ad 2) Zoals in de vorige paragraaf vermeld is het vanuit voorzichtigheid en rekening houdend met fluctuaties in de benodigde weerstandscapaciteit, belangrijk de afroming stapsgewijs uit te voeren (en niet direct in één keer). Afromen is enkel mogelijk wanneer uitkomst weerstandsratio > 1,2. De stapsgewijze afroming wordt geeffectueerd door jaarlijks maximaal 50% van het overschot op een andere wijze in te zetten. Over de eventuele resterende 50% wordt bij de volgende begroting besloten.

7. Risico Informatie Systeem (RIS)

Als hulpmiddel voor de uitvoering van risicomanagement maakt de gemeente Deventer gebruik van een Risico Informatie Systeem (RIS). In deze database worden alle geïdentificeerde risico’s met bijbehorende kans van optreden en gevolg op uniforme wijze vastgelegd en gemonitord. Het instrument is onder andere bedoeld om het gesprek over risico’s intern (ambtelijk) en eventueel met college en raad te ondersteunen.

Verantwoordelijkheid

Als verantwoordelijke managers worden in het RIS de volgende functionarissen onderkend:

○
Directeur
○
Adjunct-directeur
○
Programmamanager (PM)
○
Programma onderdeel manager (POM)
○
Teammanager (TM)
○
Projectmanager

Iedere manager is verantwoordelijk voor het risicomanagement met betrekking tot de aan hem/haar toegewezen taken en verantwoordelijkheden. In dit kader moet ieder persoon tijdig, juist en volledig zijn risico’s registreren in de database.

De database geeft inzicht in de actuele risico’s binnen de gemeente Deventer. Door de hele organisatie gebruiken we dezelfde database en beschrijvingswijze. De financiële risico’s waarvoor weerstandsvermogen moet worden aangehouden, worden gebruikt bij het berekenen van de benodigde weerstandscapaciteit.

Bereikbaarheid RIS

Het RIS als registratiesysteem is te benaderen via Intranet en onderstaande link. https://intra.deventer.nl/project/ris/default.aspx

Aan de rechterkant van de pagina staan de koppelingen naar de database, de standaardrapportages en de handleiding van de rapportages. Aan de linkerkant staat onder andere een instructie en achtergrond informatie over het RIS.

Doorontwikkeling

Aansluitend op de actualisering van de beleidsnota wordt onderzoek gedaan naar een systeem voor integraal sturen en beheersen. Hierbij heeft Deventer een gemeentebreed RIS voor ogen met een vastgestelde scoretabel voor risico’s. Uitgangspunten voor dit onderzoek zijn onder andere;

○
Deze geactualiseerde beleidsnota risicomanagement en weerstandsvermogen
○
Het huidig Risicomanagement Informatiesysteem
○
Aanbeveling 7 uit het rapport ‘Risico’s beheerst?’ (2013) van de rekenkamercommissie waarin wordt aangegeven dat niet iedere gebruikersgroep (gemeenteraadslid, collegelid en ambtenaar) ervan op de hoogte is dat RIS kan worden geraadpleegd.
○
Handreiking Risicomanagement: als onderdeel van het projectmatig werken in ruimtelijke projecten (team ORB – oktober 2014)

Aandachtspunten voor het (nieuwe) RIS vanuit deze beleidsnota

Deze beleidsnota biedt functionele (technische) specificaties die van belang zijn voor het (nieuwe) RIS. Dit zijn onder andere de volgende items;

○
Taken en verantwoordelijkheden – hoofdstuk 3;
○
Identificeringsaspecten – hoofdstuk 5, paragraaf 2;
○
Classificering- en kwantificeringsaspecten – hoofdstuk 5, paragraaf 3;
○
Beheersmaatregelen bepalen, toepassen en toetsen (incl. netto verwachte omvang risico) – hoofdstuk 5, paragrafen 4 en 5;
○
De verschillende invalshoeken (ook wel RISMAN brillen genoemd) die Deventer hanteert bij haar risico analyse. Dit betreft de politiek/bestuurlijke, de financieel/economische, de juridische/wettelijke, de technische, de organisatorische, de geografische/ruimtelijke en maatschappelijke invalshoeken – hoofdstuk 1, paragraaf 1.2 en hoofdstuk 4.

Bronnen

Wet- en regelgeving

○
Ministerie van BZK en commissie BBV
Besluitbegroting en verantwoording provincies en gemeenten (2003)
○
Ministerie van BZK
Handleiding Artikel 12 Financiële verhoudingenwet

Richtlijnen en verordeningen

○
Beleidsnota Risicomanagement en Weerstandsvermogen – Gemeente Deventer (2007)
○
Financiële verordening gemeente Deventer (2011)
○
Activeren en afschrijven – actualisering 2013 - gemeente Deventer (2013)
○
Handreiking risicomanagement als onderdeel van het projectmatig werken in ruimtelijke projecten - Gemeente Deventer (oktober 2014)

Nota’s

○
Gemeente Deventer: Beleidsnota Risicomanagement en Weerstandsvermogen (2007)
○
Gemeente Deventer: Risico’s beheerst? Onderzoek naar risicomanagement van grondexploitaties (2013)
○
Gemeente Amsterdam: Risicomanagement - Wat zou Arie doen? (2011)
○
Gemeente Breda: Risicomanagement en weerstandsvermogen 2012-2016 (2012)
○
Gemeente Utrecht: Nota weerstandsvermogen en risicomanagement 2011-2014 (2011)

Publicaties

○
Deloitte: Risicomanagement – meer dan de som der delen (2009)
○
ISO 31000: raamwerk risicomanagement
○
Ministerie BZK: Handreiking Financiën en de 3 decentralisaties (februari 2014)
○
B&G magazine jan./feb. 2014: De weerstandsparagraaf is aan herziening toe – Peter G. Boorsma (hoogleraar Openbare Financiën Universiteit Twente) en Geert Draisma (directeur NAR)
○
Universiteit Twente - Masterclass risicomanagement: Risicomanagement in de publieke sector: hele zorg, halve waarheid? – Dr. Ir. Martin van Staveren MBA
○
RISMAN: diverse artikelen van internet waaronder: ‘Wat behelst de RISMAN methode’ en ‘RISMAN Quick scan’

Aldus vastgesteld in de openbare raadsvergadering van 22 april 2015

De raad voornoemd,

drs. S.J. Peet

de griffier,

ir. A.P. Heidema

Bijlage 1. Begrippenlijst

○
Risico
Is de onzekerheid (kans) op een gebeurtenis die een negatief effect heeft op de (continuïteit van de) dienstverlening en het realiseren van de doelstellingen van de organisatie.
○
Risicomanagement
Is het identificeren en kwantificeren van risico’s en het bepalen van activiteiten die de kans van optreden en/of de gevolgen van risico’s beheersbaar houdt. Dit alles in een cyclisch proces waarin de inventarisatie voortdurend actueel wordt gehouden.
○
Beheersmaatregel
Het stelsel van maatregelen en procedures die worden genomen om de onderkende risico’s te ondervangen dan wel om opkomende risico’s te signaleren en het effect hiervan te beperken.
○
Weerstandsvermogen
De mogelijkheid van de gemeente om de financiële tegenvallers op te vangen zonder dat de uitvoering van de programma’s daardoor wordt aangetast.
○
Weerstandscapaciteit
Het geheel van middelen en mogelijkheden om niet begrote, onvoorziene en substantiële kosten te dekken. Deze capaciteit kan zowel incidenteel als structureel zijn.
○
Integraal risicomanagement
Organisatieonderdelen (managers) moeten de, vanuit het centrale bestuur duidelijk omschreven, taken toepassen en begrijpen hoe risico’s met betrekking tot die taken samenhangen met andere taakgebieden in de organisatie.
Kenmerken zijn;
- •
  Kennen de verschillende managers elkaars risico’s?
- •
  Is er een gezamenlijk duidelijk beeld over de toegevoegde waarde van RM (zowel op bestuurlijk
○
SMART
Specifiek, Meetbaar, Acceptabel, Realistisch en Tijdsgebonden
○
Risicoprofiel
Kenmerken van een risico uitgedrukt in de kans (waarschijnlijkheid) van optreden en welk (financieel) effect dit heeft.
○
Risk Appetite (risico acceptatiegraad)
De unieke houding van een organisatie tegenover het nemen van risico’s die bepaalt welke hoeveelheid risico zij als aanvaardbaar beschouwt.
○
Risicoscore
Risicoscore = score kans (verwachting) x score gevolg (impact)
Bij de bepaling van de score voor de impact wordt voor de financiële impact uitgegaan van de nettoverwachtingswaarde.
○
Netto verwachtingswaarde
Dit betreft de gekwantificeerde bruto verwachte omvang van een risico minus de vermindering door beheersmaatregelen, minus compensatie door derden en minus hetgeen al gedekt is door een voorziening, reserve of stelpost.

Bijlage 2. Beleidskader verrekenen kansen met risico’s

In het beleidskader hierboven is de werkwijze voor salderen van kansen (positieve gevolgen) met risico’s (negatieve gevolgen) niet expliciet opgenomen. In deze bijlage wordt dit kader gesteld en nader toegelicht.

De definitie van risico geeft aan dat een bepaalde (onverwachte) gebeurtenis een negatief effect (risico) op realiseren van een doelstelling kan hebben. Dit is eenzijdig gedefinieerd, want er bestaan ook onverwachte gebeurtenissen met een positief effect (kansen) op het realiseren van een doelstelling.

De positieve en negatieve effecten kunnen in de meeste brede zin worden geïnterpreteerd.

Om te voorkomen dat tegenover de (algemene) risico’s even zoveel (algemene) kansen worden geïdentificeerd en wordt gesteld dat daardoor de organisatie per saldo geen risico loopt, is in de beleidsnota de beperking opgenomen dat enkel wordt uitgegaan van de negatieve gevolgen van risico’s.

Zonder deze beperking zou dit namelijk kunnen leiden tot het compenseren van een negatief gevolg (risico) binnen een bepaald product/project door een positief gevolg (kans) binnen een ander product/project. De twee gevolgen hebben geen betrekking op dezelfde activiteit. Vanuit voorzichtigheid mogen deze twee effecten niet worden verrekend. Iedere activiteit of doel moet worden beoordeeld binnen de ‘omgeving’ waar het zich afspeelt.

Op het moment dat de risico’s (negatief gevolg) en de kansen (positief gevolg) voor het bereiken van een bepaald doel in beeld zijn kan de beoordeling plaatsvinden.

Op basis van het gedifferentieerd profiel van risico’s en kansen kan een manager vervolgens besluiten om negatieve en positieve gevolgen met elkaar te verrekenen.

Beheersing

De manager moet in staat zijn om, op basis van de risico’s en kansen rondom een te bereiken doel, beheersmaatregelen te treffen die de negatieve gevolgen bij het optreden van risico’s minimaliseren. Het bestuur moet vervolgens in staat zijn om een oordeel te kunnen over de omvang en de samenstelling van het weerstandsvermogen.

Dit is enkel mogelijk door het te bereiken doel centraal te stellen en alle gerelateerde risico’s (negatieve gevolgen) en kansen (positieve gevolgen) in kaart te brengen.

Uitgangspunten kader

Voor het verrekenen van risico’s (negatieve gevolgen) en kansen (positieve gevolgen) zijn de volgende uitgangspunten van toepassing;

1.
Met betrekking tot een specifiek te bereiken doel moeten zowel de risico’s als de kansen zuiver in beeld worden gebracht;
2.
Het verrekenen van kansen met risico’s mag niet leiden tot een verlaagde urgentie voor het nemen van beheersmaatregelen. Dit betekent dat zowel de risico’s als de kansen apart moeten worden beheerst en daarover apart moet worden gerapporteerd;
3.
Een kans mag enkel met een risico worden verrekend indien beide betrekking hebben op hetzelfde specifiek te bereiken doel (activiteit, project of object);
4.
Een kans mag niet met een risico worden verrekend als het optreden van één van de gebeurtenissen (met bijbehorend gevolg) de andere gebeurtenis (met bijbehorend gevolg) uitsluit;
5.
Kansen mogen niet worden verrekend met de risico’s indien de situatie per saldo een positief gevolg heeft. Dus: som van de positieve gevolgen < som van de negatieve gevolgen.

Ter verduidelijking volgen hieronder zes voorbeelden;

Voorbeeld 1 – Niet verrekenen

Door het uitvoeren van een integraal aanbestedingsbeleid kan de gemeente een mogelijk voordeel (positief gevolg) van € 1.000.000 realiseren op alle inkopen (minder lasten).

Binnen een grondexploitatieproject wordt als gevolg van de crisis een lager resultaat (negatief gevolg) van € 2.000.000 verwacht dan waar in de calculatie van is uitgegaan (minder baten).

Niet verrekenen, omdat;

○
de twee gevolgen geen betrekking hebben op hetzelfde project of activiteit. Ieder project moet binnen zijn eigen ‘omgeving’ worden beoordeeld. Wanneer wel zou worden verrekend geeft dit geen ‘zuiver’ beeld van de problematiek binnen het grondexploitatieproject. Dit leidt vervolgens tot het niet of onvoldoende treffen van beheersmaatregelen;
○
dit kan leiden tot oneigenlijke verrekening van bepaalde gevolgen waarbij een potentieel risico waarvoor weerstandsvermogen moet worden aangehouden kan worden verdoezeld;
○
het vanuit het toepassen van voorzichtigheid niet gewenst is de mogelijke effecten op twee verschillende onderwerpen aan elkaar te relateren.

Voorbeeld 2 – Niet verrekenen

Deventer verwacht dat het aanslaan van een nieuwe aanpak voor het begeleiden van bijstandontvangers naar een baan een voordeel (positief gevolg) oplevert in het WWB-I budget deel van € 500.000 (minder lasten).

Bij een grondexploitatie project wordt als gevolg van de economische crisis een lager resultaat verwacht ten bedrage van € 1.500.000.

Niet verrekenen, omdat;

○
beide gevolgen betrekking hebben op twee verschillende producten (activiteiten) en daarom niet met elkaar mogen worden verrekend.

Voorbeeld 3 – Niet verrekenen

Deventer verwacht dat wanneer de economische crisis doorzet (gebeurtenis) er op een bepaald moment geen animo meer is voor kavels binnen een bepaald grondexploitatieproject waardoor het project wordt beëindigd (negatief gevolg). Dit levert een verlies op van € 3.000.000.

Binnen hetzelfde grondexploitatieproject wordt gerekend op een lagere inkoopprijs ad. € 500.000 (positief gevolg) omdat verwachte prijsstijgingen (gebeurtenis) waarschijnlijk niet doorgaan.

Niet verrekenen, omdat;

○
wanneer de ene gebeurtenis (aanhouden economische crisis) met bijbehorend gevolg (beëindiging van het project) optreed, dit uitsluit dat het andere gevolg (voordeel op inkoopprijs) kan plaatsvinden.
○
Beide gebeurtenissen met bijbehorende gevolgen hebben wel betrekking op hetzelfde product maar één van de gebeurtenissen sluit het andere uit. Uit voorzichtigheid mag hier het positieve gevolg niet worden verrekend met het negatieve gevolg. Dit zou een onzuiver beeld van situatie schetsen.

Voorbeeld 4 – Wel verrekenen

Deventer verwacht voor een bepaalde grondexploitatieproject een voordeel (positief gevolg) te behalen van € 250.000 doordat de inkoopprijzen van materiaal minder snel stijgen (gebeurtenis) dan waar bij de calculatie van was uitgegaan.

Bij hetzelfde project wordt een afname van het resultaat verwacht (negatief gevolg) van € 1.000.000 als gevolg van een daling van de grondprijs (gebeurtenis) door de economische crisis.

Wel verrekenen, omdat;

○
Beide gevolgen hebben betrekking op hetzelfde product;
○
Beide gevolgen zijn niet gerelateerd en kunnen beide los van elkaar optreden (dus zonder dat de ander wordt beïnvloed).
○
Na verrekening resulteert nog steeds een risico met een negatief gevolg.

Voorbeeld 5 - Wel verrekenen

Deventer verwacht voor een bepaalde grondexploitatieproject een voordeel (positief gevolg) te behalen van € 500.000 door een snellere uitgifte (gebeurtenis) van kavels in de eerste 5 jaar door verlaging van de uitgifteprijs.

Voor hetzelfde project wordt een afname in het resultaat verwacht van € 1.000.000 (negatief gevolg) doordat de uitgifteprijs wordt verlaagd (gebeurtenis).

Wel verrekenen, omdat;

○
beide gebeurtenissen een gevolg hebben betrekking op hetzelfde product;
○
de ene gebeurtenis het gevolg van de andere gebeurtenis niet uitsluit.

Voorbeeld 6 – Wel verrekenen

De kans bestaat dat uit een onderzoek wordt vastgesteld dat Deventer bij een bepaald grondexploitatieproject een bodemsanering moet laten uitvoeren (gebeurtenis). De extra kosten zijn naar verwachting € 500.000 (negatief gevolg).

Voor hetzelfde project wordt als gevolg van het mogelijk aantrekken van de economie een hoger resultaat verwacht van € 2.000.000 (positief gevolg).

Wel verrekenen, omdat;

○
beide gebeurtenissen een gevolg hebben voor hetzelfde product;
○
de ene gebeurtenis met een gevolg de andere gebeurtenis niet uitsluit maar beide kunnen optreden.

Argumenten

Het salderen van risico’s met een positief en een negatief gevolg binnen een specifieke activiteit, project of product levert geen onverantwoord of onvoorzichtig risicoperspectief op. Er is met name sprake van een meer gedifferentieerd risicoprofiel waarbij gerelateerde positieve ontwikkelingen (kansen) worden meegenomen in de beheersing van de activiteit. Voor de manager gespecialiseerd op het specifieke product, betekent dit dat hij/zij op basis van de verschillende ontwikkelingen (met mogelijke positieve en negatieve gevolgen) beheersmaatregelen moet nemen.

Draagvlak

De handelswijze (toegepast bij de jaarrekening 2012 en de voorjaarsnota 2013) is voorgelegd aan onze accountant (Deloitte). Hij stelt in zijn reactie samengevat het volgende;

‘In de lijst met risico,s behorende bij de voorjaarsnota 2013 staan 5 negatieve bedragen. Uit een nadere beschouwing blijkt dat deze 5 posten allen verband houden met grondexploitaties waarvoor ook andere risico,s zijn geformuleerd die nauw gerelateerd zijn aan de afzonderlijk genoemde risico,s met een negatief bedrag. Als je in de lijst deze complexen als 1 geheel beschouw, wat in de praktijk ook gebruikelijk is bij de waardering van de complexen en voorzieningen hierop, dan kun je stellen dat de huidige handelswijze aanvaardbaar en consistent is.’

De beschreven handelswijze kan op basis van het bovenstaande als aanvaardbaar en consistent worden beschouwd.

Bijlage 3. Risicomanagementproces (methode)

Een goed functionerend risicomanagementsysteem is gebaseerd op uitgangspunten en doelstellingen die door de organisatie (risico eigenaren) worden onderkend en in het risicomanagementbeleid zijn geformuleerd. Dit vormt gelijk het referentiekader bij het continu doorlopen van het risicomanagementproces.

Hiervoor is een redelijk algemeen risicomanagementproces voorhanden dat meestal is gebaseerd op 5 of 6 verschillende stappen. Zoals in hoofdstuk 1 aangegeven kent Deventer een risicomanagementproces van 6 stappen.

In de volgende paragrafen worden de verschillende stappen elk afzonderlijk toegelicht.

1. Context

Waarover gaat het en wat willen we bereiken?

Risicomanagement is geen doel op zich maar een middel. Het is daarom belangrijk om na te gaan wat je ermee wilt bereiken. In deze stap wordt gekeken naar de aspecten die van belang zijn voor de risico analyse.

Kijk eerst naar de actuele context van de opdracht, het project, de afdeling of de organisatie. Wat is het doel en waar sta je nu. Waardoor wordt je verrast en zijn er zaken die het bereiken van je doel negatief beïnvloeden. Heb je het gevoel in control te zijn en overzie je de zaken?

Voor het bepalen van de context moeten de volgende stappen worden genomen;

○
Stel vast wat de huidige stand van zaken is. Is er risicomanagement nodig en wat gaat er mis als je dit middel niet inzet?
○
Wat wil je met risicomanagement bereiken? Is dit wel het juiste instrument?
○
Wat is de scope van het risicomanagement (waar focus je op)?
○
Hoeveel risico wil je lopen? Of wat mag absoluut niet mis gaan en wat wel (een beetje)?
○
Wie betrek je bij het proces van risicomanagement? Wie is opdrachtgever, eigenaar en wie voelt de gevolgen?
○
Inventariseer wat er aan informatie al beschikbaar en bruikbaar is. Wat is er al? Baken af en begin klein.
○
Welke instrumenten ga je inzetten voor de risicoanalyse? Hoe ga je aan de slag?
○
Maak eventueel een omgevings- of krachtveldanalyse. Wie hebben invloed op het risicomanagementproces?
○
Formuleer duidelijk wat je gaat doen en wie waarvoor verantwoordelijk is.
○
Betrek zo vroeg mogelijk de opdrachtgever en de bestuurder.

Deze stap leidt tot een onderbouwd antwoord op de vraag: Wat gaan we doen en wie is waarvoor verantwoordelijk?

Aanpak

Begin niet zomaar met een risicoanalyse. Denk vooraf goed na over je doel en of risicomanagement hiervoor het meest geschikte instrument is. Betrek vooral ook anderen bij het maken van de afweging. Zorg voor een open en veilige sfeer. Waak ervoor dat risicomanagement niet wordt gezien als een instrument om het functioneren van betrokkenen te beoordelen.

Bekijk vervolgens met elkaar welke omgevingsfactoren van toepassing zijn op de situatie (de opdracht, het project, de afdeling of de organisatie). Probeer deze factoren eventueel in een beïnvloedingsmodel (krachtenveld) te plaatsen. Dit geeft inzicht in de mate van beïnvloeding door je omgeving op het bereiken van je doel.

Resultaat

Deze eerste stap levert inzicht in de omgeving (het krachtenveld) waarbinnen je doel moet worden gerealiseerd en wie daarin participeren. Het geeft eveneens inzicht in de verschillende rollen en verantwoordelijkheden en wie of wat er invloed heeft op het proces van risicomanagement.

2. Identificeren en classificeren

Wat kan ons overkomen?

In deze stap wordt geprobeerd om een beeld te krijgen van gebeurtenissen die het behalen van de doelstellingen kunnen belemmeren of vertragen.

Om een zo breed mogelijk beeld te krijgen van de risico’s moet vanuit meerdere invalshoeken worden gekeken naar het te bereiken doel. Voorbeelden van invalshoeken zijn;

Interne beïnvloedingsfeer	Externe beïnvloedingsfeer
Technisch	Natuur
Organisatorisch	Economie/markt
Ruimtelijk/planologisch	Juridisch/wettelijk
Politiek/bestuurlijk	Sociaal/maatschappelijk
Financieel/economisch

Het gaat er dus om of alles in beeld komt en of dit beeld actueel is.

Aanpak

Bepaal hoe je de inventarisatie wilt organiseren. Ga je enkele collega’s interviewen (intercollegiale consultatie) of organiseer je een risicomanagementsessie (expertmeeting)? Interviews hebben als voordeel dat snel een breed beeld kan worden verkregen en biedt de mogelijkheid tot verdieping. Bijeenkomsten hebben als voordeel dat in korte tijd veel risico’s worden geïdentificeerd en geclassificeerd.

Denk bij de uitvoering aan de volgende punten;

○
Bepaal vooraf wie meedoen. Betrek mensen die er in het dagelijks werk tegenaan lopen (bottom up). Nodig er niet teveel uit (maximaal 8-10 personen). Maak de groep zo integraal mogelijk en nodig ook enkele ‘wilde ganzen’ uit. Dit voorkomt tunnelvisie.
○
Wie gaat het proces begeleiden? Kies bij voorkeur een neutrale leider die een open en veilige sfeer weet te creëren en toch in staat is kritische vragen te stellen.
○
Bepaal vooraf in welke mate en met welke diepgang de identificatie moet worden uitgevoerd. Elk risico in kaart brengen kost veel tijd en energie (kostenaspect).
○
Zorg voor een duidelijke registratie. Dit kan door middel van het schrijven van geeltjes of op , flipovervellen maar ook op voorgedrukte formulieren of directe invoer en presentatie met behulp van presentatie apparatuur.
○
Belangrijk in deze identificatieronde is dat de risico’s helder en eenduidig worden geformuleerd. Kies voor eenvoudige en korte omschrijvingen voor de gebeurtenis, de oorzaak en het gevolg.
○
Wees niet te snel tevreden, daag uit om (bijna) het onmogelijke te bedenken.

Deze stap leidt tot een onderbouwd antwoord op de vraag: Zijn de risico’s in beeld en is het actueel?

Resultaat

Deze stap levert een overzicht van risico’s waarbij de gebeurtenis, de oorzaak en het gevolg eenduidig en helder zijn geformuleerd.

3. Classificeren en kwantificeren

Wat zijn onze belangrijkste risico’s?

Deze risicoweging is in Deventer gebaseerd op basis van indeling in risicoklassen.

In deze fase worden de geïdentificeerde risico’s stuk voor stuk geanalyseerd en beoordeeld. Voor elk risico wordt de kans van optreden (waarschijnlijkheid) en de mogelijke omvang van het gevolg (impact) bepaald. Door de risico’s op deze wijze te classificeren wordt ordening aangebracht waarmee wordt bepaald welke risico’s de belangrijkste zijn. Daarnaast geeft het inzicht op welke risico’s de beheersingsmaatregelen moeten worden geconcentreerd. Hiermee ontstaat inzicht in de mate van risicogevoeligheid. Vervolgens wordt die omgezet in een zogenaamde risicoscore.

Aanpak

In deze fase maak je een inschatting van de gevolgen (omvang/impact) en de kans (waarschijnlijkheid) van optreden voor alle geïdentificeerde risico’s.

De twee onderzoeksvragen waarop je antwoord moet krijgen zijn;

a.
Wat is het geschatte gevolg (omvang/impact) van het risico?
b.
Wat is de kans (waarschijnlijkheid) dat het risico daadwerkelijk optreed?

Voor het beantwoorden van deze twee vragen hanteert Deventer de volgende risicoklassen;

Classificering gevolg (impact)

Als een risico optreedt kan dit op meerdere terreinen gevolgen hebben. Denk daarbij aan;

○
Politieke gevolgen
○
Maatschappelijke of organisatorische gevolgen
○
Juridische gevolgen
○
Financiële gevolgen

In deze fase van het proces wordt van ieder risico bepaald wat het gevolg is als het risico optreed. Hieronder volgt een leidraad voor classificering van de gevolgen op bovenvermelde terreinen;

Score gevolg	Politiek	Maatschappelijk	Juridisch	Financieel
1 = Zeer beperkt	Zeer beperkt	Geen gevolgen	Geen gevolgen	€ 1 < € 100.000
2 = Beperkt	Onrust bij portefeuillehouder	Onrust binnen de gemeentelijke organisatie	Mogelijk gezichtsverlies	€ 100.000 < € 500.000
3 = Redelijk	Onrust binnen college	Onrust/verontwaardiging bij bewoners of instellingen	Procedures en mogelijke claims	€ 500.000 < € 1.500.000
4 = Aanzienlijk	Onrust in de Raad	Onrust/verontwaardiging in grotere groepen (regionale pers)	Langlopende procedures en claims	€ 1.500.000 < € 3.000.000
5 = Ernstig	Wethouder in de problemen	Grote onrust/verontwaardiging (landelijke pers)	Grote aansprakelijkheden en claims	≥ € 3.000.000

Voor het bepalen van risicoscore (zie hieronder) is het van belang dat je na het invullen van de verschillende gevolgen uitgaat van het criterium met de hoogste score. De uitkomst daarvan zal worden meegenomen op de risicokaart.

Voorbeeld

Classificering kans(waarschijnlijkheid)

Voor het bepalen van de kans van optreden hanteert Deventer de volgende classificering; Kans (waarschijnlijkheid) van optreden

Kans (waarschijnlijkheid) van optreden

Score waarschijnlijkheid (kans)	Waarschijnlijkheid (kans)
1 = Onwaarschijnlijk	> 0% en ≤ 5%
2 = Kans is klein	> 6% en ≤ 25%
3 = Reële kans	> 26% en ≤ 50%
4 = Kans is groot	> 51% en ≤ 75%
5 = Zeer grote kans (zekerheid)	> 75%

In bovenstaande twee tabellen zijn voor de indeling expliciet de scores 1 t/m 5 gehanteerd. Deze scores zijn namelijk de basis voor het indeling van de scorekaart die is gebaseerd op de uitkomst kans x gevolg.

Denk bij de uitvoering van deze beoordeling aan de volgende punten;

○
Kies voor eenvoud; een eenvoudige berekening die voor iedereen volgbaar is;
○
Raadpleeg meerdere bronnen om een zo reëel mogelijke inschatting van de omvang te maken;
○
Stem de uitkomsten van kwantificering af met de relevante betrokkenen;
○
Wees ervan bewust dat veel risico’s impliciet al beheerst worden. Richt je in de analyse vooral op de risico’s die nog niet onder controle zijn.

Resultaat

Wanneer voor ieder risico een score op beide onderzoeksvragen is bepaald wordt daarmee de risicoscore bepaald.

Risicoscore = score kans (verwachting) x score gevolg (impact)

Voorbeeld 1.

Voorbeeld 2.

Zo krijgt een risico met een financieel gevolg van € 1.750.000 (klasse 4) en een kans van optreden van 20% (klasse 2) een risicoscore van 8 (= 4 x 2).

Wanneer vervolgens de scores per risico in een risicokaart (matrix) worden geplaatst ontstaat er inzicht in de mate van risico gevoeligheid.

Bij het intekenen van een risicoscore geldt dat hoe hoger de risicoscore;

○
Hoe roder de kleur
○
Hoe groter de financiële impact
○
Hoe hoger de kans op optreden
○
Hoe belangrijker het is om maatregelen te nemen.

Deze risicokaart wordt direct gebruikt als hulpmiddel om te bepalen aan wie welk risico wordt gemeld. Primair is het college verantwoordelijk voor alle risico’s en de raad is eindverantwoordelijk. Daarom is het belangrijk om afspraken te maken over het melden van risico’s. We hanteren het principe dat hoe hoger de risicoscore, hoe hoger het niveau in de organisatie waar het risico bekend moet zijn. Risico’s met een risicoscore van 12 en hoger melden we altijd gerapporteerd aan de raad via de paragraaf weerstandsvermogen en risicobeheersing van de P&C cyclische rapportages. Risico’s met een risicoscore kleiner dan 12 worden niet gerapporteerd via de paragraaf weerstandsvermogen en risicobeheersing van de P&C cyclische rapportages. Het betreffen uiteraard wel risico’s waarop risicobeheersing wordt toegepast en integraal worden meegenomen bij het bepalen van de benodigde weerstandscapaciteit.

Wanneer zich buiten de cyclus om substantiële ontwikkelingen voordoen dan geldt een actieve informatieplicht.

Substantieel wil zeggen:

○
Nieuw risico met risicoscore 15 of hoger (financiële impact > € 500.000)
○
Bestaand risico stijgt naar 15 of hoger (stijging potentiële impact naar € 500.000 of hoger)

Deze stap leidt tot een onderbouwd antwoord op de vraag: Welke risico’s moet als eerste worden aangepakt?

Kwantificeren

Op basis van de classificatie worden risico’s ingedeeld naar kans en gevolg en kan uit de weergave snel worden bepaald welke risico’s prioriteit vereisen. Dit geeft nog geen indicatie voor het aanhouden van weerstandsvermogen. Hiervoor is kwantificering vereist. Dit kan worden verkregen door enkel de risico’s met een financieel gevolg te beoordelen. Voor het beoordelen van het weerstandsvermogen en het opstellen van de paragraaf weerstandsvermogen (zie verder hoofdstuk 6) gaat Deventer uit van onderstaande financiële classificering en impactanalyse;

4. Beheersmaatregelen bepalen

Hoe kunnen we onze risico’s beheersen?

Nu de risico’s in kaart zijn gebracht en de mate van focus is aangebracht moet worden nagedacht over de manier waarop de toprisico’s zo goed mogelijk worden beheerst. Daar is het immers allemaal om begonnen. Het is goed te realiseren dat het doel niet is; koste wat het kost risico’s vermijden. Nee, in deze stap vindt de overweging plaats wat met het risico gaat gebeuren.

Er zijn vier vormen van omgang met risico’s;

5.
Risico’s vermijden – doelen aanpassen, activiteiten staken, desinvesteren, etc.
6.
Risico’s reduceren – kans en gevolg verkleinen d.m.v. voorzorg- en bijsturingsmaatregelen, etc.
7.
Risico’s overdragen – overdragen d.m.v. verzekeren, diversificatie (spreiden), delen, etc.
8.
Risico’s accepteren – accepteren van de gevolgen (onder voorwaarden).

De manier waarop je met risico’s omgaat, wordt mede bepaald door de omgeving van je opdracht, project, afdeling of organisatie. Denk daarbij vooral aan de context en uitgangspunten die je eerder hebt gesteld. Oftewel je ‘risk appetite’. Deze bepalen namelijk hoeveel risico je kan, mag en wilt lopen.

Als je een beheersmaatregel neemt moet deze wel effectief en proportioneel zijn. Soms is het goedkoper het risico te nemen.

Aanpak

De volgende punten helpen bij het bepalen van de beheersmaatregelen;

○
Weeg per risico de alternatieven af;
○
Als het besluit wordt genomen het risico niet over te dragen; bedenk dan zoveel mogelijk beheersmaatregelen;
○
Bespreek alle geïnventariseerde maatregelen en formuleer ze zo concreet mogelijk. Let daarbij op de factoren; uitvoerbaarheid, tijd, geld, beïnvloedbaarheid, omgevingsfactoren en mogelijke nieuwe risico’s;
○
Maak voor elke maatregel een inschatting van de gevraagde investering en het beoogde effect;
○
Maak op basis hiervan een keuze voor maatregelen die moeten worden geïmplementeerd;
○
Bepaal wat het restrisico (netto verwachte omvang) is na toepassing van de gekozen beheersmaatregelen.
○
Wijs voor de beheersing van elk risico een verantwoordelijke aan en geef hem/haar ook de bevoegdheden om de maatregelen te nemen. Dit is degene die het risico het best kan beheersen en/of die er het meeste belang bij heeft (oftewel: wie gaat het risico beheersen?);
○
Laat een implementatieplan opstellen en beoordeel periodiek de effecten;
○
Streef niet naar volledigheid maar beperk je tot bijvoorbeeld de top 10 risico’s;
○
Weeg de kosten goed af. Soms is het ‘goedkoper’ het risico te nemen;

Een risico kan het best worden beheerst door diegene die er het meeste last van heeft als het risico of de ongewenste gebeurtenis daadwerkelijk optreed. Die persoon of partij heeft er immers het meeste belang bij dat het risico niet optreed en/of dat de gevolgen beperkt blijven.

Maak bij de allocatie van de beheersing een afweging tussen belang (willen) en mogelijkheid (kunnen). Zorg er in ieder geval voor dat duidelijk is wie welk risico gaat beheersen (risico-eigenaar). Maak vervolgens afspraken over de bijbehorende taken, verantwoordelijkheden en bevoegdheden.

Resultaat

Deventer maakt dus onderscheid tussen de bruto verwachte omvang en netto verwachte omvang van een risico;

Bruto verwachte omvang =

Verwachte gevolgschade van een risico

-/- vermindering door beheersmaatregelen

-/- compensatie van derden (verzekering, Rijk, provincie, etc.)

-/- al gedekt/voorzien (reserve, voorziening, stelpost, etc.)

-----------------------------------------------------------------------------------

Netto verwachte omvang =

Nog te dekken gevolg van een risico (restrisico)

Deze netto verwachte omgang vormt, in combinatie met de verwachte kans, uitgangspunt bij het bepalen van de totale omvang aan risico’s.

Deze stap leidt tot een onderbouwd antwoord op de vraag: Welke beheersmaatregelen passen we toe?

Weerstandsvermogen aanhouden of niet?

Een vraag die op dit moment in het proces kan worden gesteld is of voor de netto verwachte omvang (restrisico) weerstandsvermogen moet worden aangehouden. Hieronder staan criteria die van belang zijn om te bepalen of hiervoor weerstandsvermogen moet worden aangehouden.

Criteria voor aanhouden weerstandsvermogen

1.
Voordat een risico wordt opgenomen in de weerstandsparagraaf zijn de beheersmaatregelen ter reductie van de kans en gevolg van optreden van het risico (economisch) volledig toegepast. Denk hierbij onder andere ook aan mogelijke bezuinigingen of herprioritering van gestelde doelen. Houdt daarbij wel de te realiseren dienstverlening in de gaten.
2.
Het gevolg van het risico moet financieel van aard zijn. Dit betekent dat de onverwachte gebeurtenis primair een financieel gevolg moet hebben.
3.
Het financiële risico is niet op andere wijze (bijvoorbeeld via verzekering, voorziening, bestemmingsreserve of bijdrage van derde) afgedekt. Als een deel van het risico is afgedekt moet dit deel op het totaal in mindering worden gebracht (netto verwachtingswaarde – zie hierboven).
4.
De kans en het financiële gevolg zijn voldoende onderbouwd. Dit betekent dat aan zowel de kans als het financiële gevolg een betrouwbaar onderbouwing (oordeel) ten grondslag ligt. Dit kan bijvoorbeeld zijn gebaseerd op onderliggende calculaties of aanwijsbare ervaringen uit eerder voorgevallen situaties.
5.
Het financiële gevolg kan niet in de begroting (binnen het huidige) budget worden opgevangen. Ook niet door herprioritering.
6.
Bij risico’s die niet binnen 1 jaar zullen optreden (dus risico’s > 1 jaar) moeten eerst worden beoordeeld of er extra beheersmaatregelen mogelijk zijn ter reductie. Vervolgens moet worden gekeken, voor het opvangen van het financieel gevolg, naar herprioritering van het huidig budget of eventueel een verzoek voor extra middelen in de eerstvolgende bestuursrapportage.
7.
De omvang van het financiële gevolg is > € 50.000

5.Beheersmaatregelen toepassen en toetsen

Hoe passen we de beheersmaatregelen toe?

○
Hoe pak je de uitvoering aan?
○
Levert de beheersmaatregel het gewenste effect?

Aanpak

Wat betreft de uitvoering is het van belang dat zoveel mogelijk planmatig wordt gewerkt. Maak een plan waarin staat wat je gaat doen, wat je daarvoor nodig hebt (zowel middelen als mandaat), hoe je de effecten van de getroffen maatregelen bewaakt en hoe je daarover rapporteert (terugkoppelen).

De volgende punten helpen in deze fase;

○
Bepaal per risico wat de kans van slagen van alle beheersmaatregelen is, wat de kosten zijn en hoe groot het eventuele restrisico;
○
Houd de plannen van aanpak voor het uitvoeren van beheersmaatregelen zo beknopt mogelijk. Vermijd uitgebreide studies en onderzoeken;
○
Onderzoek in de organisatie of er al ervaringen zijn met bepaalde beheersmaatregelen bij andere projecten of activiteiten (eventueel ook extern);
○
Stel voor elke beheersmaatregel de kaders vast zoals budget, tijdsduur en kwaliteitseisen;
○
Maak het uitvoeren van de beheersmaatregelen zoveel mogelijk onderdeel van het dagelijks werk. Koppel rapportages over beheersing van risico’s aan reguliere voortgangrapportages zoals de P&C cyclus rapportages.

Resultaat

Deze stap leidt tot een onderbouwd antwoord op de vraag: Hoe passen we beheersmaatregelen toe?

6. Rapporteren en evalueren

Wat moet worden verantwoord, wat is er veranderd en wat hebben we geleerd?

6.1 Rapporteren

Het college is gehouden om relevante informatie over de ontwikkeling van risico’s en de risicopositie tijdig en ongevraagd onder de aandacht van de raad te brengen.

Betreffende informatie moet in ieder geval antwoord geven op de volgende vragen;

○
Welke risico’s zijn te signaleren en wat houden ze in?
○
Wat is de kans van optreden en de ingeschatte omvang van de risico’s (risicokaart) in relatie tot de beschikbare weerstandscapaciteit (ratio weerstandsvermogen)?
○
Welke maatregelen zijn te treffen?
○
Wat is het effect geweest van genomen maatregelen?
○
In hoeverre is het systeem/methodiek van RM voldoende effectief geweest om de risico’s te ondervangen (wat is het effect geweest van de genomen maatregelen)?
○
Wanneer, aan wie en in welke vorm wordt periodiek gerapporteerd?

Bij de rapportage over de risico’s is sprake van gelaagdheid. Op niveau van de dagelijkse aansturing is het logisch dat er meer inzicht is in de individuele risico’s en het effect van de maatregelen. De gelaagdheid in rapporteren is in paragraaf 3.4 vormgegeven op basis van de risicoscore. Risico’s met een score van 12 of hoger worden periodiek, via de paragraaf weerstandsvermogen en risicobeheersing van de P&C cyclische rapportages, gemeld aan de raad. In de zomerrapportage en de najaarsrapportage wordt gerapporteerd over de stand van zaken met betrekking tot de risico’s.

Risico’s worden in de rapportage niet geclusterd. Dit betekent dat over elk risico met een score van 12 of hoger apart wordt gerapporteerd. Dit levert inzicht in de opbouw van het totale actuele risico en bevordert de transparantie en controleerbaarheid.

Zoals hierboven vermeld kent de gemeente Deventer een actieve informatieplicht. Buiten de reguliere cyclus is er een meldingsplicht aan de raad voor nieuwe risico’s met een risicoscore van 15 of hoger (potentiële financiële impact > € 500.000).

Aanpak

Onderwerpen waar je bij verantwoording en rapportage over risico’s en risicomanagement aan moet denken zijn opgenomen in de volgende checklist:

Aandachtsgebied	Toelichting
Inhoud Waarover vindt verantwoording plaats?	Zijn ten opzichte van de voorgaande rapportage nieuwe risico’s ontstaan en wat is hiervan de (mogelijk financiële) impact?
	Welke beheersmaatregelen zijn genomen en wat is het effect van deze maatregelen geweest?
	Welke risico’s zijn opgetreden en hebben geleid tot een uitstroom van middelen?
	Wat is de stand van zaken met betrekking tot de omvang van de risico’s in relatie tot de beschikbare middelen?
	Is het risicoprofiel van de organisatie gewijzigd en zo ja, wat zijn hiervan de gevolgen?
Effectiviteit Heeft de gemeente voldoende zicht op de effectiviteit van de maatregelen?	Welke risico’s zijn opgetreden?
	Wat zijn de kosten geweest voor het treffen van de maatregelen?
	Voert de gemeente periodiek audits uit om na te gaan hoe effectief de beheersing van risico’s heeft plaatsgevonden? En zo ja, wat zijn daarvan de resultaten?
Werkwijze Wat is de wijze van onderbouwing en kwantificering?	Is de wijze van kwantificering concreet genoeg om een oordeel te vormen over de wijze van verantwoording?
	Bestaat er voldoende inzicht over de kans van optreden van een risico?
Frequentie	Is de frequentie van het opnieuw beoordelen van de risico’s voldoende gelet op de ontwikkeling van het risicoprofiel?
Frequentie	Wordt rekening gehouden met de actieve informatieplicht wanneer risico’s wijzigen?

Resultaat

Deventer hanteert naast de P&C cyclus rapportages geen aparte risicomanagementrapportage. Zij verantwoordt haar risicobeleid via de P&C cyclus rapportages aan de raad.

Kort samengevat wordt het volgende gerapporteerd:

Rapportage document

Onderwerp

Voorjaarsnota, Begroting en Jaarrekening

-
Specifieke risico’s (en gerelateerde kansen)
-
Generieke risico’s (niet gekwantificeerd)
-
Beheersmaatregelen en effect
-
Omvang (onderdelen) beschikbare weerstandscapaciteit
-
Omvang benodigde weerstandscapaciteit gecorrigeerd met simulatie en zekerheidsfactor
-
Uitkomst ratio weerstandsvermogen
-
Ontwikkeling weerstandsvermogen
-
Welke risico’s zijn opgetreden?
-
Welke beheersmaatregelen hebben effect gehad?
-
Wat zijn de kosten geweest van de beheersmaatregelen?

6.2 Evalueren

Een groot deel van het proces is nu afgerond. De risico’s zijn geïnventariseerd en geanalyseerd en er zijn beheersmaatregelen bepaald, uitgevoerd en getoetst. Ben je dan klaar?

Nee, risicomanagement is een cyclisch proces. Als uit de evaluatie blijkt dat het effect van de maatregel niet is wat het had moeten zijn dan moet er worden bijgestuurd.

Het is belangrijk om op bepaalde momenten (minimaal 1 keer per jaar) terug te kijken om beter vooruit te kunnen kijken. Hierdoor wordt de risico intelligentie (bewustzijn) binnen de organisatie verder aangescherpt. Je leert zo beter prioriteiten te stellen en de effecten van de beheersing beter in te schatten. Binnen de programma’s zal minimaal 1 keer per jaar een kwaliteitsanalyse moeten worden gemaakt en tijdens een bijeenkomst met de risico-eigenaren moeten worden besproken. Vragen die dan aan de orde komen zijn:

○
Is het risicoprofiel kleiner of groter geworden?
○
Is de risico acceptatiegraad (risk appetite) ten aanzien van een risico gewijzigd?
○
Zijn de beoogde effecten van de beheersmaatregelen behaald, en zo nee, waarom niet?
○
Hoe houden we het risicobewustzijn/risicomanagement tot een onlosmakelijk deel van ons werk?
○
Wat zijn de vervolgstappen?

Aanpak

Voor het evalueren van het proces en de resultaten kun je het best de volgende stappen doorlopen:

1.
Organiseer een evaluatiebijeenkomst. Betrek een zo breed mogelijke groep bij de evaluatie (t.b.v. betrokkenheid en zo breed mogelijk beeld).
2.
Evalueer het proces: Wat ging goed en wat kan in het vervolg beter?
3.
Herijk het risicoprofiel: Is het risico kleiner of groter geworden?
4.
Bekijk kritisch het effect van de beheersmaatregelen: Zijn de beoogde effecten gehaald en zo niet, waarom niet?
5.
Bepaal of de frequentie van het risicomanagementproces voldoende is.
6.
Beoordeel of het risicomanagementproces onderdeel is van het reguliere arbeidsproces. Zo niet, op welke manier kan dit worden bereikt?
7.
Maak vervolgafspraken: Wat gaan we concreet doen, wanneer gaan we aan de slag, wie neemt het initiatief, enzovoort?

Resultaat

Het resultaat van het risicomanagementproces kun je beoordelen door jezelf de volgende vragen te stellen:

Commitment

Heeft de opdrachtgever of leidinggevend management zich gecommitteerd aan het nut en de noodzaak van het toepassen van risicomanagement? Zo ja waar blijkt dat uit?

Bewustzijn

Is vooraf bepaald hoeveel risico de organisatie wil lopen? Zo ja, hoeveel dan? Mandaat

Heeft de opdrachtgever van het proces voldoende mandaat om de complete cyclus bij herhaling te doorlopen? Zo ja, waar is dat vastgelegd?

Draagvlak

Is er voldoende bereidheid om open over risico’s te praten? Zo ja, waar blijkt dat uit?

Verantwoordelijkheid

Is vooraf bepaald welke medewerkers verantwoordelijk zijn voor het implementeren van risicomanagement, dan wel het uitvoeren van het proces? Zo ja, wie zijn dat?

Instrumenten

Is vooraf bepaald welke instrumenten worden gebruikt bij het doorlopen van het proces? Zo ja, welke zijn dat?

Middelen

Zijn er voldoende middelen (tijd, geld, capaciteit) beschikbaar om het proces te doorlopen en te handelen op basis van de uitkomsten? Zo ja, hoeveel en waar is dat vastgelegd?

Frequentie

Is vooraf bepaald met welke frequentie het proces wordt doorlopen? Zo ja, wat is die?

Rapportage

Is vooraf bepaald hoe en aan wie over de uitkomsten en maatregelen wordt gerapporteerd? Zo ja, hoe en aan wie?

Positionering

Sluit risicomanagement aan bij de bestaande processen? Zo ja, hoe?

Bijlage 4. Implementatie

Een belangrijk onderdeel van risicomanagement en dit beleidskader is de inbedding ervan in onze organisatie. De vraag is hoe we dit kunnen bewerkstelligen.

Hieronder volgen kort een aantal indicatoren voor implementatie van risicomanagement binnen de gemeente Deventer.

Is risicomanagement breed in de organisatie bekend en toegelicht?

Als risicomanagement op een optimaal niveau functioneert wordt binnen de strategische besluitvorming ook in termen van risicomanagement gedacht. Er wordt rekening gehouden met bedreigingen die voortvloeien uit beleidskeuzes, de mogelijke financiële impact van beleidskeuzes en het effect op het functioneren van de organisatie. Binnen de besluitvorming wordt gekozen voor risicobeheersende beleidsbepaling. Niet om elk risico te vermijden maar om risico’s inzichtelijk te maken en beheersbaar te houden.

Binnen de organisatie is een document over risicomanagement opgesteld. Stakeholders worden geïnformeerd over risicomanagement, de maatregelen, methoden, technieken en hulpmiddelen. Dit verhoogt de kennis en betrokkenheid (risico bewustzijn).

Zijn de juiste omstandigheden voor inbedding binnen Deventer gecreëerd?

Bij risicomanagement is kennis in verschillende opzichten van groot belang. In algemene vorm betreft het de kennis van de organisatie en haar omgeving, zoals de visie en de missie maar ook de concrete doelstellingen. Denk hierbij aan de contextfase uit hoofdstuk 5. Daarnaast is kennis over de risicomanagementsystemen en methodieken gewenst. Een voorbeeld hiervan zijn projecten waar de technische kennis omtrent bijvoorbeeld de risico’s rondom realisatie een voorwaarde zijn voor goed risicomanagement. Om deze expansie te realiseren is het van belang te faciliteren in uitwisseling van kennis en ervaring door het organiseren van workshops en risicomanagementsessies. Daarnaast is het van belang om medewerkers opleidingen en trainingen te bieden. Hierdoor neemt het risicobewustzijn van de organisatie toe.

Wordt risicomanagement vanuit een vast punt in de organisatie ondersteund?

Om inbedding van risicomanagement binnen Deventer te bevorderen, is het van belang dat vanuit één vast punt (persoon of team) het proces van risicomanagement wordt gemonitord en signalen geeft naar de organisatie. Dit team (of functionaris) beheerst het proces, draagt zorg voor de risico inventarisatie en beheersmaatregelen en stimuleert participatie van medewerkers. Risicomanagement moet namelijk een integraal onderdeel zijn van de taken van een manager.

De huidige situatie is dat team AB en team PCA maandelijks een gesprek voert met het management. Dit gesprek is inhoudelijk gericht op de risico’s zelf en de beheersmaatregelen. Hiermee wordt in een deel van de ondersteuning voorzien.

De aanbeveling is om risicomanagement binnen de Deventer organisatie op één vast punt te organiseren. Binnen dit team (of bij betreffende functionaris) moet kennis beschikbaar zijn over:

○
Risicomanagement systemen en methodieken
○
Organisatieomgeving gemeente Deventer
○
Organisatievisie:
- •
  Missie
- •
  Doelstellingen
- •
  Strategie
- •
  Besturingsfilosofie
○
Organisatiestructuur
○
Programma’s en producten
○
Instrumentarium Planning & Control
○
Risicohouding en ‘Risk appetite’

Vanuit deze situatie kan de implementatie planmatig worden aangepakt. Een optie is om hierbij gebruik te maken van de Plan Do Check Act methode³. Daarmee wordt bereikt dat er continue wordt gekeken naar verbetering van het risicomanagementproces. Daarnaast sluiten de bij deze methode toegepaste aspecten inspireren, mobiliseren, waarderen en reflecteren goed aan bij de zes stappen van het risicomanagementproces (hoofdstuk 3).

Checklist vanuit de Governance-cyclus

Risicomanagement is geen instrument dat kant en klaar op een organisatie kan worden toegepast. Iedere organisatie heeft haar eigen context. Een belangrijk succesfactor voor het invoeren van risicomanagement is de (bedrijfs-) cultuur. Gezien de verschillen daarin per organisatie is het onmogelijk om een standaard risicomanagement format uit te rollen. Iedere organisatie zal haar risicomanagement daarom ´custom made´ zelf moeten (laten) ontwikkelen.

Uit uitgebreid onderzoek naar risicomanagement modellen en verschillen tussen private en publieke organisaties is gebleken dat een aantal (succes)factoren van invloed is op het welslagen van risicomanagement. Wanneer daaruit de factor ‘Governance’ (en de Governance-cyclus: sturen, beheersen, verantwoorden en toezichthouden) nader wordt beschouwd kunnen aan de verschillende onderdelen aandachtspunten worden gehangen. Deze aandachtspunten zijn een checklist voor concernmanagers voor het toepassen van risicomanagement.

Concreet betekent dit, dat wanneer een beoordeling wordt gegeven van de aandachtspunten dit een bepaald beeld geeft van de mate en kwaliteit van risicomanagement binnen een organisatie. De beoordeling moet wel zelf door de organisatie vooraf worden gekwalificeerd.

De uitgebreide aandachtspuntenlijst per onderdeel van de Governance-cyclus is opgenomen in bijlage 5 van deze beleidsnota.

Bijlage 5. Aandachtspunten risicomanagement

Op basis van de Governance onderdelen sturen, beheersen en verantwoorden

Deelproces	Aandachtsgebieden	Toelichting
Sturen	Beleid	- Is er beleid rondom risicomanagement? - Zijn hierin de afspraken zoals deze zijn gesteld in de verordening 212 uitgewerkt? - Is de systematiek (inventariseren, periodiciteit rapporteren, systeem, rolverdeling, etc.) van risicomanagement duidelijk?
	Houding/Cultuur	- Wat straalt de leiding uit ten aanzien van het omgaan met risico’s? - Hoe wordt omgegaan met het melden van risico’s? - Bestaat er waardering voor het melden van risico’s? - Zijn middelen vrijgemaakt om te werken aan risicomanagement? - Worden adviezen en maatregelen om risico’s te beperken serieus genomen?
	Prioriteitstelling	- Maakt risicoanalyse- en signalering onderdeel uit van de reguliere P&C cyclus en de B&W en raadsvoorstellen? - Is voor het bepalen van het risicoprofiel nader onderzoek gedaan naar de context van het risico? - Is bepaalde op welke wijze kwantificering en identificatie van de risico’s moet plaatsvinden? - Zij (toekomstige) middelen gealloceerd die beschikbaar zijn voor het opvangen van (specifieke) risico’s? - Wat is de risicohouding bij samenwerken met derden partijen?
	Omvang	- Zijn er spelregels opgenomen voor de risicopositie? - Met andere woorden: wat is een acceptabele verhouding tussen de beschikbare weerstandscapaciteit en de risico’s? - Is gedefinieerd op welke wijze berekening van de omvang van de risico’s plaatsvindt? - Is de minimale/maximale omvang van de weerstandscapaciteit bepaald? - Zijn acties benoemd om de weerstandscapaciteit te vergroten?
	Informatie/rapportage	- Zijn spelregels opgenomen voor de periodiciteit waarop gerapporteerd moet worden over de ontwikkeling van de risico’s en de resultaten van de beheersmaatregelen? - Zijn er afspraken gemaakt over de wijze waarop over de risico’s wordt gerapporteerd; ○ Aan wie? ○ Welke informatie? ○ Evaluatie beheersmaatregelen ○ Nieuwe en vervallen risico’s - Is bepaald op welke wijze bij individuele voorstellen gerapporteerd moet worden?
	Bevoegdheden en verantwoordelijkheden	- Is duidelijk wie eindverantwoordelijk is voor betreffend risico? - Is bepaalde wie verantwoordelijk is voor het identificeren, sturen en verantwoorden omtrent risico’s? - Is duidelijk wie bevoegd is tot het aangaan van risico’s door middel van bijvoorbeeld goedkeuren van een voorstel, afsluiten van een contract of het aangaan van een (andere) verplichting?
Beheersen	Begrippen	Bestaat er een gemeenschappelijk beeld over wat verstaan wordt onder risico’s? ijn de risicogebieden duidelijk? Is bekend op welke facetten beoordeling plaats moet vinden?
	Kennis	Is binnen de organisatie voldoende kennis om risico’s te identificeren en te kwantificeren? Heeft de gemeente voldoende kennis om tijdig te reageren op de wijziging van risico’s? Is voldoende kennis aanwezig omtrent de wijze waarop omgegaan moet worden met zich manifesterende risico’s.
	Methode	Is er een duidelijke methodiek voor het in beeld brengen, houden en sturen rondom risico’s? Is de methode in de organisatie bekend? Is de methode geïncorporeerd in de dagelijkse operationele procesgang? Is duidelijk wanneer en welke maatregelen worden getroffen? Bestaat in de methode voldoende aandacht voor: - omschrijven van de risico’s - kwantificeren van risico’s - evalueren van de risico’s - formuleren van beheersmaatregelen en - aanwijzen verantwoordelijk voor omgaan met de geconstateerde risico’s .
	Risicoanalyse	Is bekend wat de belangrijkste risicogebieden binnen de organisatie zijn door het uitvoeren van een risicoanalyse? Wordt de risicoanalyse met een dusdanige frequentie herzien dat blijvend aandacht bestaat voor de ontwikkeling van de risico’s? Bestaat voldoende aandacht voor het identificeren van nieuwe risicogebieden binnen de organisatie dan wel activiteiten van de organisatie? Wordt de opgestelde risicoanalyse gedeeld door het management? Is de uitgevoerde risicoanalyse de basis voor het treffen van maatregelen?
	Organisatie	Is er voldoende capaciteit aanwezig om aandacht te besteden aan risicomanagement? Bestaat extra aandacht voor die terreinen waar risico’s dominant, omvangrijk zijn of frequent wisselen? Zijn de rollen duidelijk in het proces van risicomanagement: wie moet wat wanneer doen?
	Beheersmaatregelen	Is per relevant geïdentificeerd risico duidelijk of er beheersmaatregelen mogelijk zijn? Zijn de beschreven beheersmaatregelen duidelijk genoeg om deze vorm te geven? Is duidelijk wie verantwoordelijk is voor de beheersmaatregel? Is duidelijk binnen welke termijn de beheersmaatregel tot stand moet zijn gebracht? Zijn de beschreven beheersmaatregelen geïmplementeerd? Werken de beschreven beheersmaatregelen? Zijn er alternatieven onderzocht om de risico’s anders op te vangen? Is er bij samenwerking met derden (o.a. verbonden partijen) voldoenden aandacht voor de ontwikkeling van risico’s? Bestaan er scenario’s om te volgen wanneer risico’s daadwerkelijk optreden? Is er voldoende financiële ruimte om de risico’s op te vangen?
Verantwoorden	Inhoud	Waarover vindt verantwoording plaats? Onderwerpen zijn - Is het risicoprofiel van de organisatie gewijzigd en zo ja, wat zijn hiervan de gevolgen? - Hebben zich t.o.v. de voorgaande rapportage nieuwe risico’s voorgedaan en wat is de financiële impact? - Welke maatregelen zijn getroffen om eerdere risico’s te ondervangen en wat is het effect van deze maatregelen geweest? - Welke risico’s hebben zich concreet gemanifesteerd en hebben geresulteerd in een uitstroom van middelen? - Wat is de stand van de omvang van de risico’s in relatie tot de beschikbare middelen? - Bevat de verantwoordingsinformatie voldoende sturingsinformatie om beheer en inzicht in de risico’s te verbeteren? - Is uit de verantwoordingsinformatie duidelijke op welke aspecten de organisatie meer bewust moet zijn van onderkennen of beheersen van risico’s?
	Effectiviteit en efficiency van maatregelen	Heeft de gemeente voldoende zicht op de effectiviteit van de getroffen maatregelen: - Welke risico’s zijn opgetreden? - Wat zijn de kosten geweest voor het treffen van beheersmaatregelen (per risico en totaal)? - Voert de gemeente periodiek audits uit om na te gaan hoe effectief de beheersing van de risico’s is geweest?
	Wijze onderbouwing en kwantificering	Is de wijze van kwantificering concreet genoeg om een oordeel te vormen over de wijze van verantwoording? Bestaat voldoende inzicht in de kans van optreden van een risico en de resterende onzekerheden?
	Frequentie	Is de frequentie van herzien van de risico’s voldoende gelet op de ontwikkeling van het risicoprofiel? Wordt rekening gehouden met de actieve informatieplicht wanneer risicopositie wijzigt?

(Bron: Deloitte- Risicomanagement: meer dan de som der delen – 2009)

Bijlage 6. Vragenlijst risicogesprek

In deze bijlage worden een aantal handreikingen gegeven om een gesprek te starten in het kader van risicomanagement.

Er zijn twee invalshoeken voor zo’n gesprek;

1.
Benaderd vanuit de doelstellingen
2.
Benaderd vanuit de processen

De eerste benadering leent zich vooral als de betrokkene meer werkt vanuit de doelstellingen (bijvoorbeeld beleidsafdelingen). De tweede benadering is met name geschikt als de betrokkene werkt in een productieomgeving (bijvoorbeeld administratieve of registratieve processen zoals burgerzaken of de financiële administratie). Belangrijk is dat de gekozen invalshoek aansluit bij de belevingswereld van de betrokkene.

Deze vragenlijst is voor een groot deel opgenomen in de verschillende stappen van het risicomanagementproces (hoofdstuk 5) maar worden hieronder voor het bestuur en management beknopt samengevat.

Vanuit doelstellingen

○
Wat zijn je doelstellingen voor het komende jaar? Welke onzekerheden spelen een rol bij het bereiken van deze doelstellingen?
○
Welke risico’s komen uit eerdere inventarisatie? Zijn deze nog steeds van kracht?
○
Welke gevolgen heeft de kredietcrisis voor jouw afdeling?
○
Zijn er nieuwe thema’s die in het komende jaar een rol spelen? Kunnen we hier extra op inzoomen? Bijvoorbeeld invoering van nieuwe wetgeving?
○
Welke maatregelen tref je en zijn mogelijk op de genoemde risico’s?

Vanuit processen

○
Wat zijn jouw belangrijkste processen?
○
Welke knelpunten signaleer je hierin?
○
Hoe vaak doen deze knelpunten zich voor?
○
Zijn deze knelpunten ook te vertalen naar risico’s?
○
Wat is de mogelijke omvang van deze risico’s?
○
Welke maatregelen nam je tot op heden om deze risico’s het hoofd te bieden?
○
Zijn deze maatregelen afdoende? Welke additionele maatregelen zou je (kunnen) nemen?

* De bedragen tussen de haakjes hebben de volgende betekenis;4 =Eén keer in de 4 jaar2 =In P&C cyclus rapportage1 =Eén keer per jaar0 =Continue of wanneer het zich voordoet

Voornemen om deze samen te voegen met de reserve grondexploitatie

Kwaliteitscirkel van William Edwards Deming – hulpmiddel voor processturing