| Organisatie | Soest |
|---|---|
| Organisatietype | Gemeente |
| Officiële naam regeling | Uitvoeringskader risicomanagement gemeente Soest 2023 |
| Citeertitel | Risicomanagement gemeente Soest 2023 |
| Vastgesteld door | college van burgemeester en wethouders |
| Onderwerp | bestuur en recht |
| Eigen onderwerp |
Geen
Onbekend
Datum inwerkingtreding | Terugwerkende kracht tot en met | Datum uitwerkingtreding | Betreft | Datum ondertekening Bron bekendmaking | Kenmerk voorstel |
|---|---|---|---|---|---|
| 01-01-2024 | nieuwe regeling | 29-11-2023 |
De gemeente Soest werkt in een wereld waarin zich onverwachte gebeurtenissen kunnen voordoen. De omgeving is complex en voortdurend in beweging. Onzekerheden kunnen van invloed zijn op het behalen van gemeentelijke doelstellingen. Die onzekerheden doen zich voor in de vorm van risico’s, die een negatief (en in sommige gevallen een positief) gevolg hebben. Risico’s kunnen, als ze zich voor doen, ervoor zorgen dat de doelstellingen voor een deel of helemaal niet meer haalbaar zijn. Een risico dus is een onzekere gebeurtenis met oorzaken, een kans van optreden en mogelijke gevolgen voor onze doelstellingen. Ondanks de complexiteit en de soms onzekere context waarin wordt gewerkt is, willen raad en college dat de gemeentelijke doelstellingen worden gehaald. Ook al zijn er risico’s die daarop invloed kunnen hebben. Daarom is het belangrijk risico’s te inventariseren, maatregelen te nemen om ze te voorkomen of te verkleinen en daarop goed te sturen. Die manier van werken heet risicomanagement.
Risicomanagement omvat het continu identificeren, kwalificeren en kwantificeren van de risico’s die doelrealisatie in gevaar brengen. En vervolgens het bepalen welke activiteiten de kans van optreden en/of gevolgen van optreden beheersbaar maken.
De raad heeft de beleidskaders voor het risicomanagement al vastgesteld in de financiële verordening en in de nota reserves en voorzieningen. In het kort komt dit er op neer dat de ratio voor het weerstandsvermogen minimaal 1 moet zijn, dat de algemene reserve een minimale omvang van € 7 miljoen moet hebben om tegenvallers op te vangen en dat de raad via de paragraaf weerstandsvermogen en risicobeheersing door het college wordt geïnformeerd over de voortgang en relevante ontwikkelingen. Dat gebeurt ook tussentijds via de voor- en najaarsnota als daarvoor aanleiding bestaat. De paragraaf weerstandsvermogen bevat ook informatie over de actuele beschikbare middelen om de financiële gevolgen van die risico’s te kunnen afdekken (weerstandsvermogen).
Daarnaast is het risicomanagement ook vastgelegd en landelijke wet- en regelgeving en in een risicovisiedocument uit 2008 (door het college aangevuld in 2013).
Deze notitie richt zich meer op de uitvoeringskaders zoals deze onder de visie en de doelstellingen zijn geformuleerd en zich vanuit de praktijk vanaf 2008 hebben ontwikkeld. In deze notitie worden de (uitvoerings)kaders integraal weergegeven en dienen als basis voor de verdere doorontwikkeling van het risicomanagement door de ambtelijke organisatie.
Diverse ontwikkelingen (hernieuwde inzichten, onder andere volgend uit de nota grondbeleid en wet- en regelgeving) op het gebied van risicomanagement vormen aanleiding om het risicomanagement te actualiseren en hiervoor een uitvoeringskader in de vorm van een integrale notitie op te stellen. Specifiek aandachtsgebied hierbij is het kader inclusief de bijbehorende maatregelen gericht op het voorkomen en bestrijden van Misbruik en Oneigenlijk (M&O) gebruik. Dit is onderdeel van de rechtmatigheidsverantwoording.
Het ambtelijke en bestuurlijke bewustzijn van het bestaan van uiteenlopende factoren (risico’s) die het realiseren van onze ambities en het uitvoeren van onze gemeentelijke taken beïnvloeden, zien wij als basis voor ons risicomanagement.
Vanuit dit risicobewustzijn staan wij voor een proactief en evenwichtig risicomanagement. Een toepassing van risicomanagement, waarbij voor de impact van de specifieke onderkende risico’s toegesneden beheersmaatregelen getroffen worden.
Onze risicobereidheid zien wij als een bewuste (bestuurlijke) afweging tussen de doelstellingen van het te voeren gemeentelijk beleid, de hierbij te lopen risico's en de hiervoor te maken kosten. Met een adequate hoogte van het weerstandsvermogen en een adequate minimumhoogte van de algemene reserve, draagt risicomanagement bij aan het duurzaam in stand houden van onze financieel gezonde positie.
Doel van deze notitie is het bieden van een geactualiseerd uitvoeringskader waarmee het inzicht in - en het treffen van maatregelen voor risico’s die de realisatie van gemeentelijke gemeentelijke doelstellingen in de weg staan, kan worden verbeterd. Deze notitie vloeit voort uit de Financiële verordening gemeente Soest 2023 (cf. artikel 212 gemeentewet) en het BBV (Besluit Begroting en Verantwoording Provincies en gemeenten). Daarnaast wordt met deze notitie het risicovisiedocument uit 2008 (door het college aangevuld in 2013) geactualiseerd. Risicomanagement is een instrument dat ingezet wordt om risico’s efficiënter en effectiever te beheersen en doelstellingen te realiseren. Risico’s managen geeft geen garantie dat gebeurtenissen met een negatief gevolg niet meer zullen optreden. Het geeft wel aan dat actief wordt gewerkt aan het in beeld brengen, voorkomen en het bewust verminderen van het effect van risico’s. Het risicomanagement is een essentieel onderdeel van het (financiële) beleid van een gemeente. Nauw verbonden en vaak in één adem genoemd met risicomanagement is het weerstandsvermogen. Dit is de mate waarin de financiële effecten van risico’s kunnen worden opgevangen, mochten deze risico’s zich daadwerkelijk voordoen.
Met het vaststellen van deze notitie worden de kaders voor het risicomanagement eenduidig vastgelegd binnen de gemeente Soest. In hoofdstuk 2 wordt nader toegelicht wat onder risicomanagement wordt verstaan en de bijbehorende processtappen om hieraan concreet invulling te geven.
Hoofdstuk 3 beschrijft het begrip weerstandsvermogen en hoofdstuk 4 gaat in op de rollen en verantwoordelijkheden die raad, college en ambtelijke organisatie hebben bij het risicomanagement.
Hoofdstuk 5 gaat in op Misbruik en Oneigenlijk gebruik (M&O) als specifiek aandachtsgebied met in bijlage 2 een beschrijving van het te hanteren toetsingskader voor de uitvoering van het M&O beleid. Om een totaalbeeld te krijgen van de borging van de uitvoering van het risicomanagement, staan in bijlage 1 de uitvoeringslijnen weergegeven als basis voor het op te stellen plan van aanpak doorontwikkeling risicomanagement.
Het wettelijk kader, waar deze notitie uit voortvloeit, bestaat uit het BBV (Besluit Begroting en Verantwoording provincies en gemeenten). In artikel 20 (weerstandsvermogen en risicobeheersing) van onze financiële verordening wordt hiernaar verwezen.
Bij de begroting en de jaarstukken neemt het college in de paragraaf weerstandsvermogen en risicobeheersing de verplichte onderdelen op grond van artikel 11 BBV (Besluit begroting en verantwoording provincies en gemeenten).
In artikel 9 van het BBV is bepaald dat de begroting de paragraaf ‘Weerstandsvermogen en risicobeheersing’ moet bevatten. In artikel 26 is opgenomen dat het jaarverslag verantwoording wordt afgelegd over hetgeen in de paragrafen van begroting is opgenomen.
In artikel 11 is de inhoud van de paragraaf verder uitgewerkt.
Een risico is een kans op het optreden van een ongewenste gebeurtenis (door een oorzaak) met een (negatief) gevolg voor de gemeente en heeft invloed op het behalen van de doelstellingen. Het kan hierbij gaan om gaan om diverse typen risico’s:
Voor alle duidelijkheid: een risico is iets anders dan een probleem. Een risico is een onzekere gebeurtenis of situatie met mogelijke invloed op het halen van de gemeentelijke doelen.
Een risico kan dus optreden, maar dat is niet zeker. Sommige risico’s treden zelfs nooit op. Pas als een risico optreedt, wordt het een probleem.
2.2 Het begrip risicomanagement
Risicomanagement is het geheel aan activiteiten dat erop gericht is op een gestructureerde wijze risico’s in kaart te brengen, te evalueren, te beheersen en te rapporteren. Het is een continu proces, omdat er nieuwe risico’s kunnen optreden, of risico’s kunnen wijzigen, waardoor er aanpassing van de beheersmaatregel nodig is.
Of anders gezegd: risicomanagement is het effectief en systematisch omgaan met de bedreigingen (en de kansen) die de realisatie van organisatiedoelstellingen kunnen beïnvloeden. Het is gericht op proactief handelen in plaats van reactief.
Met risicomanagement proberen we ervoor te zorgen dat de belangrijkste risico’s zo compleet en nauwkeurig mogelijk worden ingeschat. Risicomanagement neemt de onzekerheid niet weg, maar het maakt de gemeente bewust van mogelijke veranderingen in de omgeving (externe risico’s), strategische onzekerheden en onvoorziene omstandigheden in de beleidsuitvoering. Daardoor blijven we alert en kunnen we tijdig bijsturen om het beleid zo goed mogelijk uit te voeren en worden we mindere verrast, waardoor we professioneel kunnen handelen. Het managen van risico’s geeft echter geen garantie dat gebeurtenissen met een negatief gevolg niet meer zullen optreden. Maar het geeft wel aan dat actief wordt gewerkt aan het in beeld brengen, voorkomen en het bewust verminderen van het effect van risico’s.
Risicomanagement houdt ook niet in dat koste wat het kost risico’s vermeden moeten worden.
Het gaat om het inzicht creëren in de risico’s die spelen en vervolgens bewust afwegen of het risico kan worden beheerst. Soms is het bewust accepteren van een risico de meest optimale beheersmaatregel. Risicomanagement verschaft een organisatie de mogelijkheid optimaal om te gaan met onzekerheden.
De realiteit is ook dat het niet mogelijk is alle risico’s als gemeente op voorhand te onderkennen. In onze complexe samenleving doen zich altijd verrassingen voor. Deze kunnen grote impact hebben op de mate waarin de gemeente Soest haar doelstellingen zal kunnen bereiken. Niet vooraf bekende en (vrijwel) niet te voorspellen gebeurtenissen met grote gevolgen worden ‘zwarte zwanen’ genoemd. Voorbeelden hiervan zijn de oorlog in Oekraïne en de bankencrisis. Ook zijn er zogenaamde ‘grijze neushoorns’. Dit zijn reële risico’s met grote gevolgen, maar die niet in beeld zijn of onderschat worden. Denk bijvoorbeeld aan het risico op een wereldwijde pandemie. Op zich was dit een bekend risico, maar niemand had vooraf in beeld wat de gevolgen konden zijn van corona.
2.3 Wat levert risicomanagement op?
Expliciet maken en beheersen van risico’s expliciet (inzicht en overzicht)
Door het risicomanagement worden risico’s geregeld, met vastgestelde tussenpozen, geïnventariseerd en besproken. Op deze wijze worden de risico’s ‘levend gehouden’ en is er een voortdurende aandacht voor de beheersing ervan. Door het gestructureerd toepassen van risicomanagement ontstaat een completer beeld van de risico’s. De kans dat risico’s over het hoofd worden gezien, wordt hiermee gereduceerd.
Risicoalertheid creëren (risicoalertheid en risicobewustzijn & expertise)
Door het risicomanagement worden de risico’s voor de betrokkenen inzichtelijk gemaakt. Dit bevordert het risicobewustzijn en de expertise in risico’s en het beheersen ervan.
Proactief met risico’s omgaan in plaats van reactief
Het is mogelijk proactief met risico’s om te gaan door beheersmaatregelen vroegtijdig te benoemen en uit te voeren. Dus: vóórdat de risico's optreden. Dit is beter dan af te wachten tot het risico optreedt en dan pas actie te ondernemen om de gevolgen te beperken.
Informatie voor besluitvorming & risicobereidheid
Door het risicomanagement krijgen de ambtelijke organisatie, het college en de raad meer inzicht in de risico’s die aangegaan worden en de risico’s die beheerst moeten worden.
De risico’s worden meegenomen in de besluitvorming. Hiermee wordt de risicobereidheid explicieter gemaakt. Zie hierover ook paragraaf 4.1 over het proces van risicomanagement.
Op basis van de risico’s met een financieel gevolg (benodigde weerstandscapaciteit) kan worden bekeken of deze in balans zijn met de beschikbare weerstandscapaciteit. Zie hierover ook hoofdstuk 3 over het weerstandsvermogen.
Hoofdstuk 3 Weerstandsvermogen
Risicomanagement en het weerstandsvermogen zijn nauw met elkaar verbonden. Het doel van het hebben van weerstandsvermogen is dat er een buffer aanwezig is om de financiële tegenvallers op te vangen, zodra risico’s werkelijkheid worden.
Kortom: weerstandsvermogen is het vermogen om risico’s te kunnen dekken. In dit hoofdstuk worden de belangrijkste kernbegrippen, als het gaat over weerstandsvermogen, toegelicht.
3.1 De benodigde weerstandscapaciteit
Om de benodigde weerstandscapaciteit te berekenen, wordt een inschatting gemaakt van de kosten die kunnen optreden als de ongedekte risico’s voor de gemeente Soest werkelijkheid zouden worden.
Hieraan gekoppeld wordt een kans van optreden ingeschat.
3.2 Beschikbare weerstandscapaciteit
De beschikbare weerstandscapaciteit is het totaal aan middelen en mogelijkheden waarover de gemeente beschikt of kan beschikken om niet-voorziene financiële tegenvallers op te vangen. De beschikbare weerstandscapaciteit bestaat in Soest uit: de algemene reserve en de onbenutte belastingcapaciteit. Het karakter van deze componenten is verschillend. Zo kan de algemene reserve slechts eenmalig worden ingezet en kent de belastingcapaciteit een structureel karakter. Voorzieningen behoren niet tot de weerstandscapaciteit. Het gaat hier om zogenaamd ‘geoormerkt’ geld waarover niet vrij kan worden beschikt om elke willekeurige tegenvaller op te vangen. Verder is conform het provinciaal toezichtkader het uitgangspunt dat de bestemmingsreserves niet tot de weerstandscapaciteit worden gerekend.
De onbenutte belastingcapaciteit is onderdeel van de beschikbare weerstandscapaciteit. De mogelijkheid om gemeentelijke belastingen, tarieven en heffingen te verhogen, kan namelijk bijdragen aan het opvangen van financiële risico’s. De ruimte die een gemeente heeft om belastingen en tarieven / heffingen te verhogen, is gebonden aan (wettelijke) restricties. Het gaat dan bijvoorbeeld over een vastgestelde maximum voor (de verhoging van) belastingtarieven of dat heffingen maximaal het niveau van kostendekkend mogen bedragen. Op dit moment is er in Soest sprake van ruimte tussen het OZB-tarief en het redelijk peil van de OZB, dat wordt vastgesteld in het kader van artikel 12 financiële verhoudingswet.
Bij de afvalstoffenheffing en rioolheffing streven we kostendekkende tarieven na. Dit betekent dat daar geen sprake is van onbenutte belastingcapaciteit. In de paragraaf risicomanagement en weerstandsvermogen in de begroting en de jaarstukken wordt gerapporteerd over de onbenutte belastingcapaciteit en de omvang van de algemene reserve, zijnde het totaal van de beschikbare weerstandscapaciteit.
Het weerstandsvermogen geeft de verhouding weer tussen de beschikbare en de benodigde weerstandscapaciteit.
Het weerstandsvermogen wordt uitgedrukt in de ratio:
“beschikbare weerstandscapaciteit” / “benodigde capaciteit (niet afgedekte risico’s)”.
Hierbij is het weerstandsvermogen toereikend als de beschikbare weerstandscapaciteit tenminste gelijk is aan de benodigde weerstandscapaciteit. Wanneer het weerstandsvermogen structureel minder dan 1,0 bedraagt, is een gemeente kwetsbaar. De gemeente beschikt dan naar verwachting niet over voldoende structurele capaciteit om de geïdentificeerde en gewogen risico’s af te dekken. Het weerstandsvermogen ligt idealiter (structureel) tussen de 1,0 en 2,0. In deze situatie is er sprake van een adequaat evenwicht tussen onderkende financiële risico’s en beschikbaar financieel vermogen om deze financiële risico’s op te vangen indien deze zich zouden voordoen. Overigens betekent een weerstandsvermogen van groter dan 1,0 niet dat een gemeente voor 100% is ingedekt tegen alle risico’s die zich kunnen voordoen. De ratio maakt namelijk gebruik van een weging van de risico’s. Het kan namelijk voorkomen dat de gemeente in één jaar twee grote tegenslagen krijgt te verwerken, ook al waren de kansen dat dit kan gebeuren laag ingeschat. Het spreekt voor zich dat hoe hoger de weerstandscapaciteit is, hoe meer (onvoorziene) tegenvallers opgevangen kunnen worden. Een weerstandsvermogen dat structureel boven de 2,0 ligt duidt op een zeer robuuste financiële positie.
Een structureel hoog weerstandsvermogen hoeft echter niet altijd ideaal te zijn.
Figuur : Relatie tussen risico’s, weerstandscapaciteit en weerstandsvermogen
In 2020 is landelijk het Gemeenschappelijk Financieel Toezichtkader (GTK 2020) in werking getreden. Voor de beoordeling van de omvang van het weerstandsvermogen wordt gebruik gemaakt van onderstaande waarderingstabel. Deze normeringsystematiek is ontwikkeld door het Nederlandse Adviesbureau voor Risicomanagement (NAR) in samenwerking met de Universiteit Twente. Vooralsnog gaan wij ervan uit dat ons weerstandsvermogen zich de komende jaren zal stabiliseren op de grens van ‘ruim voldoende’ en ‘uitstekend’.
Zoals in paragrafen 1.3 en 2.4 is aangegeven, is sinds 2015 in het BBV voorgeschreven in de begroting en jaarrekening te rapporteren over vijf financiële kengetallen in relatie tot de financiële positie van de gemeente. Voor een nadere toelichting wordt verwezen naar de volgende link: Regeling vaststelling wijze waarop kengetallen worden vastgesteld en opgenomen in begroting en jaarverslag provincies en gemeenten en naar de paragraaf weerstandsvermogen en risicobeheersing in de begroting en jaarstukken van de gemeente Soest.
Hoofdstuk 4 Rollen en verantwoordelijkheden
4.1 Het proces van risicomanagement
Risicomanagement bestaat uit vier stappen:
1. Identificeren van risico’s:
Het proces begint met het in kaart brengen van de risico’s die de gemeente loopt.
Voor een eenduidige identificatie van risico’s dient er inzicht te zijn in de strategische risicogebieden, de soorten risico’s die wij onderkennen en welke schaalindeling voor risico’s wij willen hanteren.
Als strategische risicogebieden gelden alle programma’s en paragrafen uit de programmabegroting. Naast deze programmatische risicogebieden worden nadrukkelijk ook risico’s onderkend die wij integraal relateren aan de grote projecten en thema’s (die dwars door meerdere programma’s of paragrafen heen kunnen lopen). Daarmee betreft ons risicomanagement de gehele begroting en daarmee ons gehele gemeentelijk handelen.
2. Analyseren en beoordelen en vervolgens kwantificeren van financiële risico’s:
Dit gebeurt door middel van het aangeven wat het negatieve gevolg van het risico is én wat de kans (%) is dat het risico daadwerkelijk zal optreden. Het negatief gevolg kan zijn een gevolg in geld of anderzijds.
De derde stap is het in beeld brengen van de mogelijke beheersmaatregelen en vervolgens de gekozen beheersmaatregelen uitvoeren. Beheersmaatregelen zien op: vermijden, beheersen, overdragen (bijvoorbeeld verzekeren) en accepteren (financiële dekking organiseren via voorziening, weerstandsvermogen).
4. Rapporteren, monitoren en evalueren:
De laatste stap van de cyclus bestaat uit communiceren over de aard en omvang van risico’s, de beheersmaatregelen en deze monitoren en evalueren. Dit vormt onderdeel van de P&C cyclus:
In de paragraaf weerstandsvermogen en risicobeheersing in de begroting en in de jaarstukken informeert het college de raad over het weerstandsvermogen en de kengetallen. In deze paragraaf wordt het volgende gerapporteerd:
de vijf financiële kengetallen (conform artikel 11 lid 2 BBV, zie ook paragraaf 3.3 weerstandsvermogen) , inclusief een toelichting. Hierbij wordt ook een vergelijking in de tijd gemaakt (conform BBV);
Tussentijds / Een continu proces
Risicomanagement is niet alleen een proces dat twee keer per jaar plaatsvindt bij begroting en jaarrekening om de paragraaf weerstandsvermogen en risicobeheersing te vullen, maar is een doorlopend proces binnen de gemeente. Zo is risicomanagement ook onderdeel van projectmanagement en bij elk besluit dat de gemeenteraad neemt, kunnen risico’s spelen. Hierbij gaat het niet alleen om besluitvorming bij (grote) projecten, maar ook bijvoorbeeld bij de invoering van nieuw beleid of andere besluiten die worden genomen door de gemeenteraad. Het is van belang om bij elk besluit dat wordt genomen af te wegen welke risico’s er zijn en of het verantwoord is het besluit op deze manier te nemen. Daarnaast is het belangrijk om van tevoren bewust keuzes te maken over de wijze van risicobeheersing. In raadsvoorstellen worden onder het kopje ‘kanttekeningen’ en / of waar nodig in de financiële paragraaf de (financiële) risico’s toegelicht en, indien van toepassing, de gevolgen ervan voor het weerstandsvermogen of de financiële kengetallen.
Impulsen voor de doorontwikkeling van het risicomanagement vanuit Bouwen aan Vertrouwen en de nota Grondbeleid
Het implementatieplan ‘Bouwen aan vertrouwen’ is erop gericht om de komende jaren de basis op orde te brengen om zo een volgende stap te kunnen zetten naar opgavegericht werken. Aan de basis van dit plan liggen het coalitieakkoord en de uitkomsten van de taskforce Bouwen en wonen. Afgesproken is om de raad te informeren over de voortgang in het op orde brengen van de basis door middel van de P&C-cyclus. Het plan kent vier programmalijnen waaronder de programmalijn Bedrijfsvoering. Onderdeel hiervan is de doorontwikkeling van de controlfunctie om beter te kunnen sturen op het realiseren van (bestuurlijke) doelstellingen door risico’s goed te beheersen en onzekerheden in beeld te hebben. In relatie hiermee en vanuit de vastgestelde nota grondbeleid 2023 (zie hieronder), is afgesproken om het risicomanagement door te ontwikkelen en hiervoor een plan van aanpak op te stellen. Zie bijlage 1 voor de uitvoeringslijnen als basis voor het op te stellen plan van aanpak doorontwikkeling risicomanagement.
In de nota grondbeleid 2023 is aangegeven dat de keuze voor het voeren van situationeel grondbeleid kan leiden tot een toename van de risico’s. Dit houdt in dat de gemeente per situatie beoordeelt welke vorm van grondbeleid het meest geschikt is; actief grondbeleid, faciliterend grondbeleid of een tussenvorm. Hiervoor vindt een aanscherping van de uitvoering en opvolging van de risicoanalyse plaats (zie uitvoeringslijnen hiervan in bijlage 1: risicoanalyse grote projecten).
4.2 Rollen en verantwoordelijkheden van raad, college en ambtelijke organisatie
Zoals aangegeven in paragraaf 4.1 is risicomanagement een continu proces dat zich niet alleen beperkt tot de begroting en de jaarstukken en dat geldt ook voor de invulling van de diverse rollen en verantwoordelijkheden.
De raad heeft een kaderstellende en een controlerende taak. Daarin zijn voor de raad de volgende sporen te herkennen:
De raad heeft de beleidskaders voor het risicomanagement al vastgesteld in de financiële verordening en in de nota reserves en voorzieningen. In het kort komt dit er op neer dat de ratio voor het weerstandsvermogen minimaal 1 moet zijn, dat de algemene reserve een minimale omvang van € 7 miljoen moet hebben om tegenvallers op te vangen en dat de raad via de paragraaf weerstandsvermogen en risicobeheersing bij de jaarstukken en de begroting door het college wordt geïnformeerd over de voortgang en relevante ontwikkelingen. Dat gebeurt ook tussentijds via de voor- en najaarsnota als daarvoor aanleiding bestaat, ook voor de grote projecten;
Het college heeft de verantwoordelijkheid voor de gemeentelijke bedrijfsvoering en daarmee ook voor het risicomanagement en het weerstandsvermogen. Het college dient ervoor te zorgen dat de doelstellingen ten aanzien van risicomanagement en weerstandscapaciteit worden behaald.
Het college stelt met deze notitie de uitvoeringskaders vast zoals deze onder de visie en de doelstellingen zijn geformuleerd en zich vanuit de praktijk vanaf 2008 hebben ontwikkeld. De uitvoeringskaders worden integraal weergegeven en dienen als basis voor de verdere doorontwikkeling van het risicomanagement door de ambtelijke organisatie. Het college is verantwoordelijk voor het informeren van de gemeenteraad over de uitvoering en de ontwikkeling van het risicomanagement. Dit gebeurt via de reguliere P&C-cyclus.
De ambtelijke organisatie is verantwoordelijk voor de verdere uitvoering. Het managementteam (MT) werkt hiervoor de uitvoeringslijnen uit (zie bijlage 1). Het management is verantwoordelijk voor de concrete invulling van risicomanagement binnen de teams. De teams nemen de wijze van invulling van risicomanagement mee in de doorontwikkeling van de teamplannen. Periodiek rapporteert het management aan het MT niet alleen over financiële resultaten, maar over de gehele bedrijfsvoering waar risicomanagement onderdeel van uit maakt.
Binnen Soest hanteren wij vanuit de control de zogenaamde Three Lines (of Defense) methodiek (3LM), een drie lijnenmethode met een heldere verantwoordelijkheid die ertoe bijdraagt dat de belangrijkste risico’s goed beheerst worden. Hieronder staat hoe de inrichting volgens deze drie lijnen er voor Soest uitziet.
De eerste lijn, de primaire verantwoordelijkheid om te zorgen dat we de goede dingen op de goede manier doen, ligt bij het lijnmanagement die is gericht op sturing en beheersing van het primaire proces door het lijnmanagement. Het lijnmanagement (managers en teamleiders) is eigenaar en verantwoordelijk voor doelrealisatie, werkprocessen van de gemeenteorganisatie en het beheersen van risico’s. Dus alle processen, systemen en medewerkers in de uitvoering, inclusief alle beheersmaatregelen die daar inbegrepen zijn. De managers en teamleiders inventariseren de risico’s en interveniëren als deze zich voordoen.
In tweede lijn is er de controlfunctie die bijdraagt aan de sturing en beheersing van de organisatie en realisatie (bedrijfsvoering). Hier worden taken uitgevoerd als adviseren, begeleiden, toetsen, analyseren en rapporteren van zaken die verband houden met het management van risico’s uit het primaire proces binnen de (vak)afdelingen. Een helpende/ondersteunende functie met specialistische kennis en expertise (bijvoorbeeld financieel en juridisch) zodat het lijnmanagement zo goed mogelijk kan sturen. Geen scherp toezicht achteraf maar signaleren, ondersteunen en adviseren.
De derde lijn betreft de interne auditfunctionaliteit die is gericht op onafhankelijk controle en toetsing of processen en systemen werken en voldoende waarborgen bevatten voor een rechtmatige en juiste uitkomst ervan. Hierbij worden aanbevelingen gedaan ter verbetering en voor de opvolging daarvan op een tijdlijn geplaatst.
Onafhankelijke positie van de concerncontroller
De formele rol van concerncontroller is belegd bij de functie van manager bedrijfsvoering en richt zich primair op de strategische invulling van concerncontrolling, waar onder risicobeheersing en instrumentontwikkeling. De concerncontroller legt verantwoording af aan de algemeen directeur/gemeentesecretaris. De rol van concerncontroller wordt verricht vanuit een onafhankelijke positie. Deze onafhankelijkheid wordt ingevuld doordat de concerncontroller, buiten de hiërarchische lijn met de algemeen directeur/gemeentesecretaris om, toegang heeft tot het bestuur en daarmee een functionele relatie heeft met het college van B&W.
De concerncontroller heeft een toetsende en adviserende verantwoordelijkheid en doet dit gevraagd en ongevraagd richting de algemeen directeur/gemeentesecretaris en het college over alle zaken die de gemeentelijke bedrijfsvoering betreffen. Indien de mening van de concerncontroller niet wordt gedeeld door de algemeen directeur/gemeentesecretaris, kan de concerncontroller zich rechtstreeks wenden tot het college van B&W, onder gelijktijdige mededeling daarvan aan de algemeen directeur/gemeentesecretaris.
Het inrichten van het risicomanagement langs deze lijnen is meer dan een organisatiestructuur model. Het is vooral een manier van (samen)werken die bijdraagt aan het gezamenlijk in control komen en blijven.
Geredeneerd vanuit risicomanagement, heeft het aangaan van samenwerkingsverbanden twee kanten van een medaille. Enerzijds geeft het aangaan van samenwerkingsverbanden goede mogelijkheden om specifieke risico’s te verminderen (denk daarbij aan risico’s m.b.t. continuïteit, kwaliteit, deskundigheid en efficiency).
Anderzijds zijn in samenwerkingsverbanden bedrijfsvoering en beleidsuitvoering veelal dusdanig op afstand gezet, dat de deelnemende partners geen direct risicomanagement meer kunnen toepassen. Veel komt aan op het inrichten van goed risicomanagement in het samenwerkingsverband zelf en een goede sturing daarop door de besturen van de betrokken partners. Dat geldt ook voor het Misbruik en Oneigenlijk gebruik (M&O) beleid van het samenwerkingsverband (zie hoofdstuk 5).
In Soest is de basis voor de sturing op samenwerkingsverbanden vastgelegd in de Strategische visie op samenwerking en Grip op samenwerkingsverbanden. Met daarin ook opgenomen de sturing op risico’s binnen de samenwerkingsverbanden. Via de P&C-cyclus van de samenwerkingsverbanden krijgt de raad tijdig de gelegenheid om te reageren op de P&C-documenten van samenwerkingsverbanden. Dit wordt door het college gefaciliteerd door in de bestuurlijke advisering naast in te gaan op de onderdelen financiën, resultaten, algemene bestuurlijk relevante ontwikkelingen ook in te gaan op de risico’s van het samenwerkingsverband.
Daarnaast wordt via de P&C cyclus van de gemeente Soest zelf in de paragraaf verbonden partijen in begroting en jaarstukken ook integraal gerapporteerd over de risico’s van de diverse verbonden partijen. Indien de risico’s binnen een bepaald samenwerkingsverband dusdanig van aard en omvang zijn dat deze doorwerken naar onze eigen risicoparagraaf dan worden deze daar ook vermeld.
Hoofdstuk 5 Misbruik en oneigenlijk gebruik (M&O) beleid
5.1 Doelstelling en uitgangspunten
De aanleiding voor het opstellen van een gemeentelijk (overkoepelend) M&O kader hangt met name samen met het gegeven dat met ingang van het verslagjaar 2023 het college zelf in de jaarstukken verantwoording af moet leggen aan de raad over de rechtmatigheid van de verantwoorde baten, lasten en balansmutaties (zie: op 5 oktober 2023 door de raad vastgestelde stukken rechtmatigheidsverantwoording en Kadernota rechtmatigheid 2023 van de commissie BBV). Het college dient in dit kader een uitspraak te doen in hoeverre misbruik en oneigenlijk gebruik wordt voorkomen en bestreden, en of de getroffen maatregelen werken.
De basis daarvoor ligt in belangrijke mate bij de uitkomsten van de intern uitgevoerde controles en evaluaties (zie bijlage 2: toetsingskader M&O beleid en de onderkende risicogebieden). Wanneer het college concludeert dat het M&O-beleid (op onderdelen) niet actueel is en/of dat er geen M&O-beleid bestaat of het M&O-beleid feitelijk niet wordt nageleefd dan vermeldt het college dit in de paragraaf bedrijfsvoering van de jaarstukken. Daadwerkelijke afwijkingen als gevolg van misbruik worden, voor zover deze niet het getrouwheidsaspect raken, betrokken bij het opstellen van de rechtmatigheidsverantwoording.
Het M&O criterium dient samen met het begrotingscriterium en het voorwaardencriterium als basis voor de afgifte van de rechtmatigheidsverklaring (zie: op 5 oktober 2023 door de raad vastgestelde stukken rechtmatigheidsverantwoording, pagina’s 5 en 6). Het M&O beleid heeft tot doel het voorkomen en bestrijden van misbruik en oneigenlijk gebruik van overheidsgelden. Daarmee bestaat het zowel uit preventief beleid als repressief beleid. Hierbij staat het vertrouwen van de gemeente Soest in een goed gebruik door haar inwoners en instellingen/bedrijven van de diverse gemeentelijke financiële regelingen voorop. Vanuit het maatschappelijk perspectief bezien, staat het gemeentelijk optreden dan ook in een proportionele verhouding tot eventuele fouten of een onjuist gebruik.
Er kunnen zich echter ook situaties van (pogingen tot) misbruik en oneigenlijk gebruik van overheidsgelden voordoen. Daarvoor moet de gemeente Soest waarborgen en (preventieve) maatregelen treffen, dit M&O hoofdstuk biedt hiervoor het kader. Bij M&O beleid is met name van belang om vast te stellen dat in de bedrijfsvoering effectieve maatregelen zijn getroffen om misbruik dan wel oneigenlijk gebruik te voorkomen dan wel tijdig op te sporen, en daarnaast dat de wet- en regelgeving duidelijk en te handhaven is.
5.2 Definities en afbakening M&O beleid
De commissie BBV heeft in de Kadernota rechtmatigheid 2023 de volgende definities van misbruik en oneigenlijk gebruik opgenomen.
Het betreft hier een bewuste opzettelijke misleiding om onrechtmatig of onwettig voordeel te behalen. Niet elke misstap (fout) geldt als misbruik. Bij het maken van fouten is er meestal geen sprake van een opzettelijke handeling. Daarnaast is het begrip misleiding van betekenis in deze definitie. Misleiding heeft betrekking op het bewust verborgen houden van het misbruik.
Als wet- en regelgeving oneigenlijk gebruik mogelijk maakt (“de mazen van de wet”) is het noodzakelijk dat wet- en regelgeving worden aangepast en/of duidelijker moet worden toegelicht. De externe afbakening van het M&O beleid is gericht op de inwoner, instelling of organisatie die via de gemeente gebruik maakt van overheidsregelingen. De interne werking van het M&O beleid heeft nadrukkelijk te maken met houding en gedrag en wordt wat betreft eventueel misbruik of oneigenlijk gebruik door bestuurders en ambtenaren onder het gemeentelijke integriteitsbeleid geschaard (link naar gedragscode en integriteit/melden misstanden waar onder fraude).
Misbruik is onrechtmatig, oneigenlijk gebruik niet. Wanneer sprake is van misbruik van overheidsgelden moeten deze gelden door de gemeente worden teruggevorderd. Als in de jaarrekening van de gemeente geen terugvordering is verantwoord, is sprake van een getrouw beeld fout die niet wordt opgenomen in de rechtmatigheidsverantwoording. Wanneer misbruik van overheidsgelden is geconstateerd en een terugvordering (met eventueel een boete) is opgelegd blijft staan dat misbruik van overheidsgelden heeft plaatsgevonden. Indien de omvang van dit misbruik samen met andere financiële rechtmatigheidsfouten bij de gemeente de verantwoordingsgrens heeft overschreden, moet dit misbruik van overheidsgelden worden opgenomen in de rechtmatigheidsverantwoording.
Naast misbruik en oneigenlijk gebruik kan er sprake zijn van fraude. De term fraude is juridisch niet gedefinieerd. In het dagelijks taalgebruik is het gebruikelijk misbruik en oneigenlijk gebruik ook als fraude te bestempelen, denk hierbij aan een term als ‘bijstandsfraude’ of aan ‘fraude’ met vergunningen. Dit type fraudes valt nadrukkelijk onder het misbruik en oneigenlijk gebruik criterium. Het gaat hier om derden die misbruik maken van (gemeentelijke) regelingen.
Dit misbruik en oneigenlijk gebruik moet wel duidelijk worden onderscheiden van fraude in het kader van de controle van de jaarrekening door de accountant. Naast het college heeft de accountant ook een verantwoordelijkheid met betrekking tot fraude in het kader van de controle van de jaarrekening. Dit type fraude omvat opzettelijke handelingen door één of meerdere personen binnen de gemeente, waarbij gebruik wordt gemaakt van misleiding teneinde een onrechtmatig of onwettig voordeel te behalen. Een voorbeeld is het betalen van valse facturen waarbij één of meerdere personen binnen de gemeente betrokken zijn. Hier vallen ook frauderisico’s onder die betrekking hebben op het ingrijpen van het management op de verslaggeving en de eigen interne regels. Ook wel “management override of controls” genoemd. De ‘’interne’’ fraude is een onderdeel van de getrouwheidsverklaring van de accountant en wordt daarom niet opgenomen in de rechtmatigheidsverantwoording. Als de gemeente deze fraude op een juiste manier heeft verwerkt in de jaarrekening, dan kan deze toegelicht worden in de paragraaf bedrijfsvoering, maar dit is niet verplicht.
Zie in bijlage 2: schema: onderscheid misbruik/fraude door derden en door één of meerdere personen binnen de gemeente en de gevolgen voor rechtmatigheids- of getrouwheidsverklaring.
De uitwerking van het overkoepelend M&O beleid is opgenomen in de diverse vigerende specifieke regelingen, verordeningen en processen.
M&O risicogebieden betreffen het sociaal domein, vergunningverlening en (deels) handhaving, integriteit van relaties, belastinginkomsten, identiteitsbewijzen, reisdocumenten en rijbewijzen, subsidieverstrekking en inkoop/aanbesteding. De inzet van beheersmaatregelen (regelgeving, voorlichting, controle en passende maatregelen) in de risicogebieden is afhankelijk van het inherente risico. De meeste regelingen zijn gebonden aan wettelijke eisen en minimumnormen voor het nemen van maatregelen ter bestrijding van fraude en misbruik. Bijvoorbeeld SISA regelingen: SiSa betekent eenmalige informatieverstrekking, eenmalige accountantscontrole. Met SiSa verantwoorden gemeenten en provincies aan de (Rijks)overheid hoe ze de specifieke uitkeringen hebben besteed. Vanuit het oogpunt van M&O kunnen daar (aanvullende) maatregelen aan worden toegevoegd in die gevallen waarin regelingen zelf daar niet in voldoende mate voorzien. Voor 2023 geldt dat bijvoorbeeld voor de Sisa regeling voor de Wet inburgering: in de interne controle van de jaarstukken 2023 zal daar extra aandacht aan worden besteed. Voor de komende jaren kunnen er andere regelingen zijn die extra aandacht behoeven.
Regelingen en processen (of onderdelen daarvan) kunnen het risico van misbruik of oneigenlijk gebruik met zich meedragen. Dat is met name het geval als er sprake is van afhankelijkheid van gegevens die derden aan de gemeente verstrekken. Wettelijke eisen en minimumnormen verbinden aan de meeste regelingen de verplichting om maatregelen ter bestrijding van fraude en misbruik te treffen. Dat zijn maatregelen uit landelijke wetgeving en lokale regelgeving die sowieso worden ingezet. Daarnaast zijn er extra beheersmaatregelen denkbaar die het risico van misbruik en oneigenlijk gebruik verder kunnen terugdringen. Extra beheersmaatregelen worden alleen daar ingezet waar het risico dit vraagt in combinatie met een kosten baten afweging. Tevens zijn beheersmaatregelen die intern zijn gericht relevant. Het gaat dan om zaken zoals functiescheiding, toegangsrechten tot applicaties, regelmatige controle daarvan, het vastleggen van gebeurtenissen in log-ins, en rapportages over deze maatregelen.
In de maatregelen kan een onderscheid worden aangebracht tussen preventieve en repressieve maatregelen (of een mix daarvan).
Preventieve maatregelen zijn maatregelen die liggen vóór het moment van beschikken, betalen of ontvangen van een voorziening, vergunning of uitkering.
Preventieve maatregelen betreffen regelgeving, voorlichting, (proces)controles en frauderisicoanalyses vooraf. Deze zijn gericht op het voorkomen van misbruik en oneigenlijk gebruik van regelingen.
Repressieve maatregelen zijn maatregelen die na het moment van beschikken, betalen of ontvangen worden genomen. Het gaat om controle achteraf (uitkomsten interne controle) waarbij M&O kan worden vastgesteld en sancties als reactie op een vaststelling van misbruik.
Door M&O periodiek te evalueren kunnen gebreken worden ontdekt en hersteld. Naar aanleiding van de gegevens die voortkomen uit de evaluatie kan inzicht worden verkregen in de effectiviteit van de genomen beheersmaatregelen om misbruik en oneigenlijk gebruik te voorkomen en in de van de controlemogelijkheden. Evaluatie kan leiden tot aanpassing van bijvoorbeeld regelgeving of het controlebeleid.
Er kunnen zich omstandigheden voordoen, die een gegronde reden vormen om af te wijken van hetgeen in dit uitvoeringskader is opgenomen, bijvoorbeeld omdat voldaan moet worden aan veranderingen in de huidige wet- en regelgeving. Bij onvoorziene omstandigheden en gegronde redenen behoudt het college het recht om anders te handelen dan is opgenomen in dit uitvoeringskader mits het besluit voldoet aan de actuele wet- en regelgeving.
Indien wet- en regelgeving of andere omstandigheden dit in de tussentijd vereisen, wordt dit uitvoeringskader opnieuw beoordeeld op toepasbaarheid en actualiteit, en waar nodig aangepast of aangevuld. Dergelijke wijzigingen hoeven niet te leiden tot een nieuwe integrale notitie maar kunnen bijvoorbeeld ook via toekomstige P&C producten (bijvoorbeeld in de paragraaf bedrijfsvoering) worden verwerkt en maken daarna integraal onderdeel uit van het geldende risicomanagement van de gemeente Soest.
Na bekendmaking treedt dit uitvoeringskader vanaf 1 januari 2024, in werking. De nadere uitwerking van de benodigde weerstandscapaciteit zoals genoemd onder de uitgangspunten in paragraaf 3.1, vindt plaats in de loop van 2024 hetgeen betekent dat deze nog niet zijn doorgevoerd in de jaarstukken 2023 en begroting 2024.
Bijlage 1: Uitvoeringslijnen als basis voor het op te stellen plan van aanpak doorontwikkeling risicomanagement
Het managementteam is verantwoordelijk voor de vertaling van de visie en de doelstellingen naar concrete uitvoering. Om een totaalbeeld te krijgen van de borging van de doorontwikkeling van het risicomanagement, wordt in deze bijlage weergegeven langs welke lijnen hieraan uitvoering wordt gegeven. Deze lijnen dienen als basis voor een nog op te stellen plan van aanpak voor de doorontwikkeling van het risicomanagement binnen de organisatie.
Er zijn de volgende vijf uitvoeringslijnen:
Ad. 1. Bewustwording en transparantie
Bewustwording en transparantie van onderkende risico’s begint al in de fase van beleidsvoorbereiding. Daarom is in de formats voor projectplannen en startnotities ed. nadrukkelijk het onderdeel risico’s en de beheersing daarvan opgenomen. Ook in de politiek-bestuurlijke advisering is nadrukkelijk aandacht voor risico’s. In de formats van de B&W- en de raadsvoorstellen is standaard een item risico’s/kanttekeningen opgenomen.
Echter, ook bij niet beleidsadviserende taken dient men bewust te zijn van risico’s en deze adequaat beheersen. Denk daarbij bijvoorbeeld aan gebouwenbeheer, bodedienst, balie- en receptie-werkzaamheden, de landelijk verplichte persoons- en objectregistraties (= ‘basisregistraties’), subsidie- en uitkeringsverlening en diverse human resource werkzaamheden. Op deze zaken worden op uiteenlopende wijze risicomanagement vastgelegd en toegepast. In onder meer de volgende documenten is dit vastgelegd of gaat dit nog gebeuren:
Ad. 2. Weergave risico’s in P&C-documenten
In Soest zijn rapportages over risicomanagement ingebed in de reguliere planning & controlcyclus. In de begroting en de jaarrekening wordt integraal gerapporteerd over onderkende bestuurlijk relevante risico’s.
In de programma’s van de begroting en de rekening wordt op hoofdlijnen ingegaan op:
In paragraaf A Weerstandsvermogen en risicobeheersing van de begroting en jaarrekening worden alle onderkende ongedekte financiële risico’s weergegeven. Het totaal hiervan wordt afgezet tegen de beschikbare algemene reserve en belastingcapaciteit, waarmee het gemeentelijke weerstandsvermogen bepaald wordt. Daarnaast worden als indicator voor het gemeentelijk weerstandsvermogen weergegeven in welke mate voldaan wordt aan de minimumnorm van de omvang van de algemene reserve. Ook de ontwikkeling van de financiële positie van de gemeente Soest over een aantal jaren wordt weergegeven via de vijf financiële kengetallen (conform artikel 11 lid 2 BBV, zie ook de paragrafen 3.3 weerstandsvermogen en 4.1 het proces van risicomanagement) , inclusief een toelichting.
In de voorjaarsnota en najaarsnota worden in de programma’s en de paragrafen nieuwe onderkende risico’s weergegeven of majeure wijzigingen van bestaande risico’s.
De teamplannen zijn nog in ontwikkeling en we gaan na op welke wijze we de versterking van het risicobewustzijn via de teamplannen verder vorm kunnen geven.
Ad. 3. Risicoanalyse werkprocessen per aandachtsgebied (Bestuurlijke omgeving, Sociale leefomgeving, Fysieke leefomgeving en Bedrijfsvoering)
Waar gewerkt wordt, worden risico’s gelopen. Dit betekent dat het lopen van risico’s inherent is aan de uitvoering van de gemeentelijke werkprocessen en dat het herkennen van risico’s en nemen van beheersmaatregelen onderdeel dient uit te maken van de dagelijkse activiteiten.
Daarmee ligt in de werkprocessen voor een belangrijk deel de basis voor het toepassen van risicomanagement. Hier worden processen op ingericht en maken wij dat voor interne informatieoverdracht en voor verantwoording en toetsing transparant via onder andere het beschrijven van processen. De procesbeschrijvingen geven met een bepaalde mate van diepgang inhoudelijk het verloop van het proces weer.
Aan de inhoudelijke procesweergave gaat een algemene proces-kenschets vooraf die de volgende kopjes bevat: doel van het proces, wettelijke eisen en referentiekaders, aspecten rechtmatigheid, risico’s en beheersmaatregelen, communicatie/informatie, kengetallen en bijzonderheden.
Met deze opzet van een risicoanalyse op werkprocesniveau wordt een nadrukkelijke koppeling gelegd tussen dagelijkse activiteiten en toepassen van adequaat risicomanagement.
Bij de risicoanalyse van de werkprocessen wordt specifieke aandacht besteed aan misbruik en oneigenlijk gebruik (M&O): zie bijlage 2.
Ad. 4. Risicoanalyse grote projecten/investeringen
Conform artikel 6 van de financiële verordening informeert het college de raad gedurende het kalenderjaar in de regel 2 keer via de tussentijdse rapportages (voor- en najaarsnota) over de voortgang van de grote projecten. De grote projecten presenteren we integraal waarbij we alleen de projecten waar sprake is van een afwijking voorzien van een nadere toelichting. In de rapportages wordt over grote projecten integraal gerapporteerd over: a. bestuurlijke besluitvorming; b. financiële middelen; c. organisatie; d. globale planning; e. communicatie; f. risico’s.
Voor individuele gemeentelijke grondexploitaties en de volledige gemeentelijke grondexploitatieportefeuille geldt dat we deze jaarlijks actualiseren inclusief het uitvoeren van een risicoanalyse. Indien er aanleiding voor is, gebeurt dit meer dan eenmaal per jaar. In de actualisatie van de betreffende grondexploitatie wordt het risicoprofiel met de ‘Monte Carlo simulatie’ door middel van scenarioanalyses inzichtelijk gemaakt. Over de uitkomsten wordt de raad actief geïnformeerd. Tevens dient het risicomanagement integraal onderdeel uit te maken van de projectbeheersing. Dit houdt in dat risico’s expliciet worden gemaakt, er concrete beheersmaatregelen worden benoemd en deze ook door een verantwoordelijk risico-eigenaar worden uitgevoerd. Binnen het projectteam vindt er monitoring plaats op de uitvoering van de beheersmaatregelen en het effect van deze maatregelen op het (rest)risico. Dit betreft een aanscherping van de uitvoering en opvolging van de risicoanalyse.
Los van de grote projecten geldt dat voor elke investeringsaanvraag eventuele risico’s moeten worden benoemd die met de investering samenhangen en op welke wijze het college deze risico’s gaat beheersen.
Ad. 5. Herijking instrumentarium: hoe geven we de doorontwikkeling van het formele - en het informele instrumentarium verder vorm
Gedacht wordt om de volgende zaken verder uit te werken:
Informeel instrumentarium (soft controls):
Risicomanagement koppelen aan de doelstellingen van de organisatie
Voorwaarde is dat de doelstellingen SMART geformuleerd zijn. In de begroting 2024 zijn hiervoor de nodige stappen gezet om de begroting ‘smarter’ te maken. Dit is gebeurd door indicatoren toe te voegen, een sterkere verbinding te maken tussen doelstellingen, activiteiten en middelen en te kiezen voor een uniforme structuur binnen de (deel)programma’s. Verdere ontwikkeling van dit instrument blijft op de (bestuurlijke) agenda staan. Hieraan gekoppeld, dienen ook de risico’s SMART te worden geformuleerd op basis van éénduidige definities.
Op dit moment tellen we alle risicobedragen (kans x financiële impact) op om te bepalen wat het totale risico is dat we lopen. Maar als we alle individuele restrisico’s bij elkaar optellen ontstaat een te negatief beeld. Het is immers vrijwel zeker dat niet alle risico’s zich tegelijkertijd voor zullen doen. Daarnaast zal niet ieder risico zich daadwerkelijk in de maximale omvang voordoen. Om deze overschatting van de te lopen risico’s te voorkomen, willen we gebruik gaan maken van een algemeen geaccepteerde en krachtige simulatietechniek, de Monte Carlo-methode in combinatie met een softwaretool. Hierbij houden we niet alleen rekening met enkelvoudige ontwikkeling van risico’s maar bouwen we verschillende scenario’s in die zich voor de risico’s kunnen voordoen.
Bij de Monte Carlo methode wordt gerekend met een zekerheidspercentage. Dit percentage geeft aan hoe waarschijnlijk het is dat de financiële gevolgen van de werkelijk opgetreden risico’s onder de berekende waarden vallen. We willen uitgaan uit van een zekerheidspercentage van 90%. Dat wil zeggen dat het bedrag dat uit de simulatie naar voren komt met een zekerheid van 90% voldoende is om de risico’s af te dekken. Het bovenstaande werken we nader uit en dat geldt ook voor de actualisatie van de tot nu toe gehanteerde schaalindeling voor de inschatting van de kansen van het optreden van risico’s en hoe om te gaan met risico’s met een structureel effect.
Helder benoemen van risico-eigenaren in de organisatie
Het is van belang dat mensen zich risico-eigenaar voelen van bepaalde risico’s die het bereiken van de gemeentelijke doelstellingen in de weg staan. Als deze motivatie niet wordt gevoeld en mensen zich geen risico-eigenaar voelen, dan gaan risico’s zweven in de organisatie en voelt niemand zich verantwoordelijk. Naast het helder benoemen van risico-eigenaren, is het benoemen en in voldoende mate organiseren van de ondersteunende rol (leveren van expertise, advisering, monitoring/kritische blik) binnen de gemeentelijke organisatie van belang.
Versterken van het inzicht in de risico’s van samenwerkingsverbanden
In samenwerkingsverbanden is bedrijfsvoering en beleidsuitvoering veelal dusdanig op afstand gezet, dat de deelnemende partners geen direct risicomanagement meer kunnen toepassen. Veel komt aan op het inrichten van goed risicomanagement in het samenwerkingsverband zelf en een goede sturing daarop door de besturen van de betrokken partners. Gezien de omvang van de taken die voor onze gemeente in samenwerkingsverbanden worden uitgevoerd, willen we het inzicht versterken op de risico’s die daar spelen en gevolgen kunnen hebben voor onze gemeente.
Informeel instrumentarium (soft controls):
Stimuleren risicobewustzijn, draagvlak en kennis door middel van risicodialogen/opleidingen
Hier valt ook de ‘tone at the top’ onder: draagvlak vanuit de ambtelijke leiding en bestuur voor de ontwikkeling van het risicomanagement.
Cultuur: niet gericht op afrekenen maar op het benoemen (lerende organisatie)
Het gaat hierbij ook om het benoemen van niet financiële risico’s. Dus niet alleen een focus op de financiële risico’s en de daarmee verbonden (strakke) koppeling aan het weerstandsvermogen.
Verder past hier gericht op het M&O beleid ook een open meldcultuur voor het benoemen van misstanden in de organisatie. Ook valt hier onder om scherp te blijven zijn op het niet doorschieten in het formele instrumentarium. Dan is de kans groot dat het risicomanagement te veel een periodiek technisch kunstje wordt met een invuloefening.
Bijlage 2: Toetsingskader M&O beleid
Misbruik en oneigenlijk gebruik (M&O) van wet- en regelgeving heeft impact op alle processen.
Voor de toetsing moet worden nagegaan in hoeverre misbruik en oneigenlijk gebruik wordt voorkomen en bestreden en of de getroffen maatregelen werken. Hierbij ligt de focus op fraude, dat wil zeggen misbruik door zowel derden als handelingen door één of meerdere personen binnen de gemeente zelf, waarvoor een risicoanalyse wordt opgesteld. Op basis van deze risicoanalyse zal de interne controle van gemeente Soest nagaan welke beheersingsmaatregelen, zoals preventie, handhaving, opsporing en sancties al reeds geïmplementeerd zijn in het interne proces.
Stappen om frauderisico’s zo goed mogelijk te beheersen:
Begint met het in kaart brengen van risicogebieden in de organisatie waar fraude plaats zou kunnen vinden, ongeacht of deze risico’s zijn beheerst. Wie zou kunnen frauderen? Van een buitenstaander tot zomaar een medewerker; fraudeurs kunnen allerlei gedaanten aannemen. En vervolgens de vraag hoe de fraude concreet zou kunnen plaatsvinden. En nagaan welke fraudegevallen bekend zijn bij andere gemeenten/overheidsinstanties.
Niet elke frauderisico uit de frauderisicoanalyse is waarschijnlijk of zal een grote financiële impact hebben. Hoe groter de kans van voorkomen en hoe groter de financiële impact, des te belangrijker het beheersen van het risico.
Frauderisico’s kunnen preventief en repressief (achteraf) worden beheerst. Een voorbeeld van een preventieve beheersingsmaatregel is het vier-ogenprincipe bij de uitvoering van betalingen. Een voorbeeld van een repressieve beheersingsmaatregel is het maandelijks controleren van gewijzigde bankrekeningnummers aan de hand van correspondentie met de leverancier. Daarnaast bestaan mogelijkheden om de financiële administratie data gedreven te monitoren op mogelijke frauderisico’s.
Tenslotte komen veel fraudezaken nog steeds aan het licht dankzij klokkenluiders/via een meldpunt.
Wanneer een incident zich voordoet, is goede interne communicatie cruciaal. En goede communicatie valt of staat met de juiste informatie. Op welke wijze worden incidenten nader onderzocht: wie is de opdrachtgever van het onderzoek, wie voert het onderzoek uit en hoe wordt er gecommuniceerd over het onderzoek?
Frauderisicobeheersing is een continu proces. Periodiek wordt stil gestaan bij het onderwerp fraude, worden de frauderisico’s en interne beheersingsmaatregelen geëvalueerd en worden de maatregelen waar nodig aangepast.
Interne controle M&O beleid met een indeling naar risicogebieden
Het planningsproces van de interne controlewerkzaamheden omvat het opstellen van een controleprogramma als onderdeel van een intern controleplan dat voor M&O in eerste instantie is gericht op de volgende risicogebieden:
Specifiek gericht op de frauderisicoanalyse voor handelingen door één of meerdere personen binnen de gemeente zelf worden hier de volgende gebieden aan toegevoegd:
Voor het hoe te handelen bij (het vermoeden van) fraude zal binnen de gemeente Soest een fraudeprotocol worden opgesteld met daarin in elk geval aandacht voor de volgende stappen:
Van jaar tot jaar zal worden nagegaan of er aanleiding bestaat om de risicogebieden uit te breiden c.q. te wijzigen.
Bij het bepalen van de aard, omvang en timing van de controlewerkzaamheden kan een keuze worden gemaakt uit de volgende onderdelen:
Deze werkzaamheden worden vastgelegd in het interne controleplan (hierin is de verbijzonderde interne controle vastgelegd: gericht op processen met de grootste financiële en maatschappelijke risico's en is bedoeld om foutgevoelige processen te identificeren en de gekoppelde risico's te beperken). Hierin wordt ook de onderbouwing voor de controlemethode vastgelegd. De controlemethode zal afgestemd worden met de accountant van gemeente Soest.
Schema: onderscheid misbruik/fraude door derden en door één of meerdere personen binnen de gemeente en de gevolgen voor rechtmatigheids- of getrouwheidsverklaring