Raamwerk of Kooi - Genootschap voor Risicomanagement

RAAMWERK OF KOOI?
Geschiktheid van ISO-31000 als instrument voor risicomanagement bij de
Provinciale overheid
Drs. R.F.D. BOSMAN Begeleider: drs. J. van den Brink
Maastricht, 9 december 2009
MBA-Controlling
Business School Nederland

RAAMWERK OF KOOI?
Geschiktheid van ISO-31000 als instrument voor risicomanagement bij de
Provinciale overheid

SAMENVATTING
Organisaties worden steeds meer geconfronteerd met risico’s, die adequaat dienen te
worden gemanaged, omdat hun stakeholders dat van ze verwacht. Dit geldt ook zeker
voor de overheid. De overheid wordt in deze tijd sterk op haar functioneren aangesproken
en er bestaat een groeiende onvrede over de prestaties van de overheid. Veranderend
beleid, gewijzigde regelgeving, prestatiecontracten, decentralisatiediscussies,
marktwerking etc. Op alle niveaus en in alle bestuurslagen wordt gezocht naar een
nieuwe, betere invulling van het functioneren van de overheid.
Het onderzoek richt zich op het inzichtelijk maken en beoordelen van kritische
succesfactoren van risicomanagement bij de Provinciale overheid in Nederland.
Verschillende ontwikkelingen zorgen ervoor dat voor de Provincies de aandacht voor het
voeren van een gestructureerde, organisatiebrede aanpak van risicomanagement meer
dan ooit gewenst is. De vraag dringt zich op hoe Provincies zich op een zo gestructureerd
mogelijke manier risicomanagement eigen kunnen maken. Centraal daarbij staat niet
alleen het ontwikkelen van risicomanagementbeleid, maar met name het beschikken over
een geschikt instrument om haar processen, activiteiten en de hieraan verbonden risico’s
te managen, zodat deze aansluiten bij de vastgestelde doelstellingen.
Er zijn talloze modellen ontwikkeld om bedrijven en organisaties te helpen om risico’s te
managen, een wildgroei aan verschillende systemen en risicoraamwerken is ontstaan. De
tot dusver ontwikkelde modellen hebben met name betrekking op private organisaties.
Voor Provincies verschilt de (politiek-bestuurlijke) context echter wezenlijk van dat van
private organisaties. Er is nauwelijks onderzoek gedaan naar de toepassing van
risicomanagement bij de Provinciale overheid in Nederland, met specifieke aandacht voor
de invloed van de politiek-bestuurlijke context op het managen van risico’s.
De doelstelling van dit onderzoek luidt:
Inzicht krijgen in de geschiktheid van ISO-31000 als instrument voor risicomanagement
bij de Provinciale overheid.
De kritische succesfactoren zijn gebaseerd op de uitgangspunten van de eind 2009 te
publiceren richtlijn voor Risicomanagement; ISO-31000. ISO-31000 is een
managementsysteem dat beschrijft wat een organisatie moet doen om de (risico)aspecten
van haar processen en activiteiten te managen zodat de resultaten en uitkomsten
aansluiten bij de vastgestelde doelstellingen.

Achtereenvolgens is literatuurstudie en veldonderzoek uitgevoerd. Hierbij zijn onder meer
experts op het gebied van risicomanagement geïnterviewd. Op basis van dit
vooronderzoek blijkt dat met name cultuur- en structuuraspecten belangrijk zijn als
kritische succesfactor voor een succesvolle toepassing van risicomanagement. Als kritische
succesfactor voor risicomanagement bij Provincies dienen:
1. Verantwoordelijkheden met betrekking tot risicomanagement zijn belegd op
strategisch, tactisch en operationeel niveau;
2. Er is sprake van een organisatiebreed risicobewustzijn, op zowel strategisch,
tactisch en operationeel niveau;
3. Risicomanagement maakt onderdeel uit van (besluitvorming)processen;
4. Risicomanagement sluit aan bij de doelstellingen van de Provinciale organisatie.
Deze criteria zijn vervolgens getoetst door middel van enquêtes en interviews bij de
Provincies. Op basis van het uitgevoerde onderzoek zijn de volgende algemene conclusies
te trekken:
1. Risicomanagement wordt bij Provincies in toenemende mate aangestuurd vanuit
een strategische visie en beleid op de functie van risicomanagement voor de
organisatie, zonder dat er een gestructureerde organisatiebrede aanpak
voorhanden is;
2. Risicomanagementprocessen zijn nog onvoldoende ingebed in de
managementstructuur en besluitvormingsprocessen van Provincies;
3. Risicomanagement wordt bij Provincies nog sterk traditioneel ingestoken vanuit een
verplichte externe verantwoordingsbehoefte in de paragraaf Weerstandsvermogen;
4. Hoewel bij het merendeel van de Provincies de behoefte bestaat aan structurering
van de versnipperde aanpak van risicomanagement, worden risico’s nog steeds
gemanaged binnen afzonderlijke functionele gebieden;
5. Er ligt met name nadruk op de risico-inventarisatie en risicoanalyse en minder op
de beheersing van de bijbehorende maatregelen.
Samenvattend kan worden gesteld dat ISO-31000, met een expliciete koppeling van de
uitgangspunten, raamwerk en proces van risicomanagement, in beginsel een geschikt
instrument is voor een Provinciale toepassing van risicomanagement. De generieke opzet
van ISO-31000 maakt het een geschikt instrument dat recht doet aan de verschillende
fasen waarin Provincies op het gebied van risicomanagement staan.
De complexe besluitvormingsprocessen van de Provinciale overheid en de sterk
veranderende externe context waarin de Provincies zich bevinden, maken een
organisatiebrede aanpak van risicomanagement noodzakelijk. Daarbij dient te worden
voldaan aan de genoemde beoordelingscriteria.

VOORWOORD
Verdieping en ontwikkeling in bedrijfskunde. Dat waren voor mij de belangrijkste
drijfveren om 3 jaar geleden te starten met een Master of Business Administration-
opleiding. De specialisatie Controlling was een logische; in mijn loopbaan staat met name
het aandachtsgebied control centraal.
De keuze voor het onderwerp van het afstudeeronderzoek, risicomanagement, bleek een
actuele. De afgelopen jaren is het vakgebied risicomanagement immers volop in het
nieuws. Ook het (mis)managen van risico’s bij de Provinciale overheid staat nogal eens ter
discussie. De belangstelling voor de resultaten van het onderzoek, bevestigen het beeld
dat in toenemende mate behoefte bestaat aan een doordachte toepassing van
risicomanagement binnen Provincies. Ik hoop dat mijn onderzoek bijdraagt aan de
discussie hierover.
Inmiddels ben ik 3 jaar, 8 modules, 32 studieboeken, 5 risicomanagementseminars en 4
presentaties verder. En kan ik constateren dat de opleiding bij mij nu al een verdieping
heeft opgeleverd op het gebied van bedrijfskunde.
Graag wil ik mijn dank uitspreken aan een ieder die mij heeft geholpen danwel
gemotiveerd bij het uitvoeren van dit onderzoek en het schrijven van deze rapportage en
een aantal mensen in het bijzonder. Allereerst mijn begeleiders. Ik wil Robert ’t Hart
danken voor zijn kritische reflectie en aanstekelijke enthousiasme. Veelvuldig en intensief
was het contact; het heeft ervoor gezorgd dat er een prima match was tussen mijn kennis
en ervaring bij de Provinciale overheid en zijn grote expertise op het vakgebied van
risicomanagement.
Daarnaast wil ik Joke van den Brink van het opleidingsinstituut bedanken voor de goede
inhoudelijke en procesmatige begeleiding van het onderzoek.
Dick Hortensius dank ik, als vertegenwoordiger van de normcommissie ISO-31000, voor
het frequent informeren over ontwikkelingen op het gebied van de ISO-norm.
Het was een lang en intensief traject. Naast een full-time baan was deze
(zater)dagopleiding dan ook een balans zoeken tussen opleiding en privé. Het was
derhalve ook een belasting voor het thuisfront. De laatste woorden van het voorwoord zijn
dan ook voor Rian, Thieme en Benthe.
René Bosman
Roermond, 29 september 2009

INHOUDSOPGAVE
VOORWOORD
SAMENVATTING
1 INLEIDING ..................................................................................................................... 1
1.1 Aanleiding ............................................................................................................1
1.2 Leeswijzer ............................................................................................................3
2 OPDRACHT EN ONDERZOEK........................................................................................... 5
2.1 Probleem- en doelstelling........................................................................................5
2.1.1 Probleemstelling....................................................................................................5
2.1.2 Doelstelling...........................................................................................................5
2.2 Onderzoeksopzet ...................................................................................................6
2.2.1 Onderzoeksmodel ..................................................................................................6
2.2.2 Onderzoekstype ....................................................................................................7
2.2.3 Centrale vraagstelling ............................................................................................7
3 LITERATUURONDERZOEK ........................................................................................ 9
3.1 Inleiding...............................................................................................................9
3.2 Risico...................................................................................................................9
3.3 Risicomanagement...............................................................................................10
3.4 Risicoraamwerk ...................................................................................................12
3.5 ISO-31000 .........................................................................................................15
3.6 Risicoagenda bij Provincies ...................................................................................20
1. Economische crisis ..................................................................................................22
2. Afroming van Rijksuitkeringen...................................................................................23
3. Decentralisatiediscussies ..........................................................................................24
4. Veranderde wetgeving .............................................................................................24
5. Nederlandse code voor goed openbaar bestuur............................................................28
3.7 Risicomanagement bij Provincies ...........................................................................29
3.8 Operationaliseren van begrippen............................................................................32

4 METHODOLOGIE ........................................................................................................... 35
4.1 Vooronderzoek ....................................................................................................35
4.2 Te raadplegen bestaande bronnen..........................................................................36
4.3 Te raadplegen expert ...........................................................................................38
4.4 Operationalisatie van begrippen.............................................................................38
4.5 Dataverzameling .................................................................................................41
4.6 Dataverwerking...................................................................................................41
4.7 Kwaliteit van dataverzamelingmethoden .................................................................42
5 RESULTATEN ................................................................................................................ 43
5.1 Inleiding.............................................................................................................43
5.2 Uitgangspunten risicomanagement.........................................................................44
5.3 Raamwerk risicomanagement................................................................................49
5.4 Risicomanagement proces.....................................................................................52
6 CONCLUSIES ................................................................................................................ 55
7 BRONNEN..................................................................................................................... 59
7.1 Literatuur ...........................................................................................................59
7.2 Methodische literatuur..........................................................................................61
7.3 Documenten .......................................................................................................61
BIJLAGEN ......................................................................................................................... 63
BIJLAGE 1. BEGELEIDENDE BRIEF ........................................................................................65
BIJLAGE 2. GEHANTEERDE VRAGENLIJST ..............................................................................66
BIJLAGE 3. NEDERLANDSE NORMCOMMISSIE RISICOMANAGEMENT .........................................73
BIJLAGE 4. ARTIKEL ‘RISICOMANAGEMENT RUKT OP’ .............................................................75

1 INLEIDING
Dit hoofdstuk heeft tot doel om de context te schetsen waarbinnen voorliggend onderzoeksverslag
tot stand is gekomen (1.1). Daarna wordt in een leeswijzer de opbouw van de rapportage
beschreven (1.2).
1.1 Aanleiding
De overheid wordt in deze tijd sterk op haar functioneren aangesproken en er bestaat een
groeiende onvrede over de prestaties van de overheid. Veranderend beleid, gewijzigde
regelgeving, prestatiecontracten, marktwerking etc. Op alle niveaus en in alle
bestuurslagen wordt gezocht naar een nieuwe, betere invulling van het functioneren van
de overheid.
Specifiek voor de Provincie als middenbestuur geldt dat de meerwaarde regelmatig ter
discussie wordt gesteld. Dit vraagt om een duidelijk zichtbare en presterende Provincie,
die een herkenbare toegevoegde waarde levert aan maatschappelijke vraagstukken in een
steeds complexere en risicovolle context.
De externe omgeving van de Provincie is complex en turbulent. De toekomst van de
Provincie als bestuurslaag staat daarnaast ook nog ter discussie. Anticiperend op die
onzekerheid, zal vooral aandacht voor een effectieve strategische aanpak van de
maatschappelijke vraagstukken, zoals ze door de provinciale partners en klanten naar
voren worden gebracht, het bewijs voor de toegevoegde waarde van de Provincie moeten
leveren. Resultaat en rekenschap over de prestatie van de Provincie is daarbij van groot
belang. Risicomanagement als instrument om te prioriteren en als sturingsmiddel om
mensen en processen te richten op het bereiken van de (coalitie)doelstellingen wordt
daarmee steeds belangrijker.
Het niet adequaat managen van risico’s heeft in een recent verleden grote gevolgen gehad
voor politiekgevoelige dossiers bij Provincies. Zo speelde bijvoorbeeld in de Provincie Zuid-
Holland de Ceteco-affaire, waarbij is gebleken dat de Provincie op grote schaal in geld
handelde, zonder dat Provinciale Staten hier van af wisten. In de Provincie Gelderland was
sprake van een affaire rond het evenementenbeleid, waarbij geld is toegekend voor
activiteiten, die –in strijd met de regels- niet waren goedgekeurd door Provinciale Staten.
Ook de kredietcrisis toont aan dat niet alleen in de financiële wereld sprake is van een
toenemende behoefte aan een adequaat functionerend risicomanagement. In de loop van
2008 bleek dat gemeentelijke en provinciale overheden vele miljoenen euro's hebben
uitstaan bij IJslandse banken. Een onderzoek 1 naar het financiële beleid van de Provincie
1 Triple R, regels, Rendement en Risico’, provinciale onderzoekscommissie Noord-Holland, 29 mei 2009.
1

Noord-Holland, concludeerde dat de Provincie ten onrechte geen actief risicomanagement
voerde. De uitkomsten van dit onderzoek leidden tot het aftreden van het voltallige
College van Gedeputeerde Staten in juni 2009.
Verschillende ontwikkelingen zorgen ervoor dat voor de Provincies de aandacht voor het
voeren van een gestructureerde, integrale aanpak van risicomanagement meer dan ooit
gewenst is. Daarbij is een onderscheid te maken tussen recente externe ontwikkelingen
(decentralisatiediscussies, kredietcrisis) en ontwikkelingen vanuit wet- en regelgeving.
Als gevolg van genoemde veranderingen staat de legitimiteit van de Provincie als
middenbestuur onder druk. Er is verwarring over de vraag wie verantwoordelijk is voor
fouten en wat de gevolgen van een dergelijke verantwoordelijkheid moeten zijn
[Noordergraaf, 2008]. De druk vanuit de samenleving op overheidsbestuur om te ordenen
en te regelen, bijvoorbeeld om risico´s in te dammen, neemt toe.
De Provincies hebben vanuit het Besluit Begroting en Verantwoording [BBV, 2003]
weliswaar de verplichting om beleid te voeren op het gebied van risicomanagement, de
praktijk vraagt echter een bredere benadering met integratie van risicomanagement in de
dagelijkse praktijk. Er is dan ook in toenemende mate behoefte aan een organisatiebrede
aanpak van risicomanagement en een gemeenschappelijk kader [Hortensius, 2008]. Het
managen van risico´s kan niet louter als een technische kwestie worden voorgesteld,
waarbij de stappen van risico-identificatie, -analyse, monitoring en bijsturing wordt
doorlopen. Het managen van risico´s is bij uitstek een politiek vraagstuk [Noordergraaf,
2008].
Er zijn talloze raamwerken ontwikkeld om bedrijven en organisaties te helpen om risico’s
te managen. Het risicoraamwerk is het kader dat ervoor moet zorgen dat
risicomanagementprocessen zijn ingebed in de managementstructuur en
besluitvormingsprocessen van de organisatie en dat ze worden aangestuurd vanuit een
duidelijke visie en beleid op de functie van risicomanagement voor de organisatie. De
grote hoeveelheid aan publicaties suggereren dat een risicoraamwerk een makkelijk te
ontwikkelen instrument is, waar je na implementatie, als organisatie snel beter van wordt.
Het tegendeel blijkt waar. Draagvlak, houding en gedrag zijn een belangrijke succes- en
faalfactor voor het adequaat managen van risico’s. Zonder draagvlak van het management
kan nooit sprake zijn van succesvol integraal risicomanagement [’t Hart, 2009].
De tot dusver ontwikkelde raamwerken hebben met name betrekking op private
organisaties. Voor Provincies verschilt de (politiek-bestuurlijke) context echter wezenlijk
2

van dat van private organisaties. Het is voor Provincies van belang om risico’s te kunnen
koppelen aan de doelstellingen, zoals deze zijn opgenomen in het coalitieakkoord en
doorvertaald in de programmabegroting. Daarmee kan worden bereikt dat
risicomanagement bijdraagt aan de minst risicovolle manier van doelbereik [’t Hart, 2008].
In 2005 is besloten een internationale generieke richtlijn voor risicomanagement te
ontwikkelen, die eind 2009 zal worden gepubliceerd. Deze richtlijn: ISO-31000, beoogt
een gemeenschappelijk begrippenkader en generiek raamwerk te bieden voor het
managen van allerlei typen risico’s. In dit onderzoek wordt, op basis van de
uitgangspunten van ISO-31000, inzicht verschaft in de kritische succesfactoren van een
instrument, geschikt voor toepassing van risicomanagement bij Provincies.
1.2 Leeswijzer
Dit rapport en het beschreven onderzoek zijn opgebouwd volgens de methoden van
Verschuren en Dodewaard [2007].
Hoofdstuk 1
Inleiding
Hoofdstuk 2
Opdracht en
onderzoek
Hoofdstuk 3
Literatuuronderzoek
Hoofdstuk 4
Methodologie
Hoofdstuk 5
Onderzoeksresultaten
Hoofdstuk 6
Conclusies
In het eerste hoofdstuk wordt de achtergrond van het onderzoek beschreven. In hoofdstuk
twee wordt ingegaan op de onderzoeksopdracht. Vervolgens geeft hoofdstuk drie inzicht in
de onderzoeksoptiek aan de hand van literatuuronderzoek. De onderzoeksopzet is
uitgewerkt in het vierde hoofdstuk. De onderzoeksresultaten zijn beschreven in hoofdstuk
5, waarna tenslotte in hoofdstuk 6 de conclusies benoemd zijn.
3

2 OPDRACHT EN ONDERZOEK
In dit hoofdstuk wordt
afgebakend wat de opdracht is
en welk onderzoek daarbij
wordt uitgevoerd. Er wordt
ingegaan op de probleem- en
doelstelling van het onderzoek
(2.1), de onderzoeksaanpak en
de onderzoeksvragen (2.2). In
paragraaf 2.3 wordt tenslotte
de aanpak toegelicht.
Hoofdstuk 1
Inleiding
Hoofdstuk 2
Opdracht en
onderzoek
2.1 Probleem- en doelstelling
Hoofdstuk 3
Literatuuronderzoek
Hoofdstuk 4
Methodologie
Hoofdstuk 5
Onderzoeksresultaten
Hoofdstuk 6
Conclusies
2.1.1 Probleemstelling
Naar aanleiding van de in de inleiding genoemde ontwikkelingen, dringt de vraag zich op
hoe Provincies zich op een zo gestructureerd mogelijke manier risicomanagement eigen
kunnen maken. Centraal daarbij staat niet alleen het ontwikkelen van
risicomanagementbeleid, maar met name het beschikken over raamwerk om haar
processen, activiteiten te managen, zodat deze aansluiten bij de vastgestelde
doelstellingen. De tot dusver ontwikkelde raamwerken hebben met name betrekking op
private organisaties. Voor Provincies verschilt de (politiek-bestuurlijke) context echter
wezenlijk van dat van private organisaties. Een sectorspecifiek instrument van
risicomanagement voor provincies ontbreekt. De probleemstelling luidt dan ook:
Voor de toepassing van risicomanagement bij Provincies is geen geschikt raamwerk
voorhanden.
Het risicoraamwerk is het kader dat ervoor moet zorgen dat risicomanagementprocessen
zijn ingebed in de managementstructuur en besluitvormingsprocessen van de organisatie
en dat ze worden aangestuurd vanuit een duidelijke visie en beleid op de functie van
risicomanagement voor de organisatie.
Met de toepassing worden bedoeld alle benodigde activiteiten, om de routinematige
toepassing van risicomanagement binnen een organisatie te waarborgen.
2.1.2 Doelstelling
Met de doelstelling van het afstudeeronderzoek wordt bedoeld het doel dat beoogd is met
het bereiken van de resultaten van het onderzoek. De doelstelling van het
afstudeeronderzoek is:
Inzicht krijgen in de geschiktheid van ISO-31000 als instrument voor de toepassing van
risicomanagement bij de Provinciale overheid.
5

2.2 Onderzoeksopzet
Het onderzoek is erop gericht om inzicht te krijgen in kritische succesfactoren voor een
raamwerk, geschikt voor toepassing van risicomanagement bij de Provincies. Dit proces
wordt hieronder uitgewerkt in een onderzoeksmodel, waarna vervolgens het model wordt
gesplitst in onderzoeksvragen. Een uitgebreide opzet en verantwoording van het
methodisch onderzoek is opgenomen in hoofdstuk 4 van deze rapportage.
2.2.1 Onderzoeksmodel
Om vanuit bovengeschetst kader uiteindelijk de onderzoeksvragen te kunnen
beantwoorden, wordt in onderstaand onderzoeksmodel, volgens methode van Verschuren
en Dodewaard [2007], verband gelegd tussen de verschillende onderzoeksstappen.
Theorie
openbaar
bestuur
Gesprekken
deskundigen
Documentonderzoek
Provincies
Wet- en
regelgeving
Provincies
Literatuur
risicomanagement
Literatuur
Public
Governance
Legenda:
(A) (B) (C) (D) (E)
(A) De bestudering van verschillende theorieën (openbaar bestuur, risicomanagement,
risicomanagementinstrumenten, management control, e.a.), onderzoeken, strategische
beleidsdocumenten (o.a. programmabegroting, paragraaf weerstandsvermogen),
bestudering van het Besluit Begroting en Verantwoording van Provincies en Gemeenten
(BBV) en gesprekken met deskundigen (vooronderzoek) levert uiteindelijk (B) een
uitdieping op van bestaande risicomanagement-raamwerken en meer specifiek ISO-
31000. Het levert vervolgens op basis van de ISO-31000 richtlijn, beoordelingscriteria op
(C) waarmee de toepassing van risicomanagement bij Provincies kan worden getoetst
(D). Beoordeling van deze criteria bij Provincies (interviews en vragenlijsten) levert
onderzoeksresultaten en conclusies op voor de geschiktheid van ISO-31000 als instrument
voor risicomanagement bij Provincies (E).
Criteria
risicoframe-
work op basis
ISO
Toetsing
criteria
experts
Criteria
middels
Interviews
Criteria
middels
enquête
Onderzoeks
resultaten
Conclusies
praktijkonderzoek literatuuronderzoek analyse
6

2.2.2 Onderzoekstype
Het type onderzoek laat zich het beste beschrijven als een praktijkgericht onderzoek. Met
het onderzoek wordt immers beoogd een bijdrage te leveren aan een toepassing van een
instrument voor risicomanagement bij Provincies. De uiteindelijke beantwoording van de
(deel)vragen gebeurt op basis van een probleemanalytisch onderzoek. Vanwege de
politiek-bestuurlijke belangen en context van de provinciale organisatie is bewust gekozen
voor een probleemverkennende analyse en niet voor een ontwerp- en/of interventiegericht
onderzoek.
2.2.3 Centrale vraagstelling
In deze paragraaf wordt de doelstelling vertaald in een drietal centrale onderzoeksvragen,
met behulp van een splitsing van het onderzoeksmodel. Hierbij worden de centrale
onderzoeksvragen gekoppeld aan een gesplitst onderzoeksmodel en onderverdeeld in
deelvragen.
De eerste centrale vraag heeft betrekking op onderzoeksstap (A) en (B), zoals benoemd in
paragraaf 2.2.1. en betreft de bronnen van de beoordelingscriteria, waarmee de
toepassing van het bestaand risicomanagement kan worden beoordeeld.
1. Welke kritische factoren over toepassing van risicomanagement zijn te onderkennen na
bestudering van de literatuur hierover?
1.1. Wat is een risico?
1.2. Wat is risicomanagement?
1.3. Welke uitgangspunten hanteert ISO-31000 als instrument voor risicomanagement?
De tweede centrale vraag is gebaseerd op onderzoeksstap (C).
2. Welke criteria dienen te worden gehanteerd voor een succesvolle toepassing van
risicomanagement bij de Provinciale overheid?
2.1. Welke invloed heeft de Provinciale politiek/bestuurlijke context op
risicomanagement?
2.2. Wat is de risicoagenda van Provincies?
2.3. Welke criteria voor risicomanagement sluiten het beste aan bij de Provinciale
overheid?
De derde en laatste centrale vraag is gebaseerd op onderzoeksstap (D) en (E). Waarbij de
criteria voor toepassing van risicomanagement worden beoordeeld bij provincies.
3. Is ISO-31000 geschikt als instrument voor de toepassing van risicomanagement bij
Provincies?
7

3.1. Welke conclusies kunnen worden getrokken op basis van de beoordeling van de
criteria aan bestaand risicomanagement bij Provincies?
In onderstaande tabel staat vermeld in welke hoofdstukken de centrale vragen worden
beantwoord:
Tabel 1. beantwoording van centrale vragen:
Centrale vraag Beantwoord in hoofdstuk
1 Kritische succesfactoren risicomanagement 3 Literatuuronderzoek
2 Criteria risicomanagement Provincies 5 Resultaten van onderzoek
3 Conclusies 6 Conclusies
8

3 Literatuuronderzoek
De opzet van dit hoofdstuk is
drieledig. Enerzijds worden de in
dit onderzoek te hanteren
begrippen afgebakend en
gedefinieerd (3.1 t/m 3.3).
Vervolgens wordt literatuuronderzoek
verricht naar
raamwerken, die worden
Hoofdstuk 1
Inleiding
Hoofdstuk 2
Opdracht en
onderzoek
Hoofdstuk 3
Literatuuronderzoek
Hoofdstuk 4
Methodologie
Hoofdstuk 5
Onderzoeksresultaten
Hoofdstuk 6
Conclusies
gehanteerd voor het managen van risico’s (3.4 en 3.5). Het derde deel tenslotte bestaat uit de
studie naar de (invloeden van de) risicoagenda bij Provincies (3.6 en 3.7). In paragraaf 3.8
tenslotte worden de begrippen geoperationaliseerd.
3.1 Inleiding
Het vakgebied van risicomanagement staat de afgelopen decennia volop in de
belangstelling, de aandacht voor risico’s is explosief toegenomen [Wetenschappelijke Raad
voor Regeringsbeleid, 2008]. Meest recent is er aandacht voor risicomanagement vanwege
de economische crisis. Onderzoek onder bedrijven van financiële dienstverlening toont aan
dat zeventig procent van executives in de financiële dienstverlening vindt dat de verliezen
die zijn gemaakt in de kredietcrisis voornamelijk te wijten zijn aan onvoldoende aandacht
voor verschillende factoren rond risicomanagement. In hetzelfde onderzoek geeft 60
procent van de respondenten aan dat de kredietcrisis aanleiding is om de activiteiten op
het gebied van risicomanagement kritisch te bekijken [Economist Intelligence Unit, 2008].
Risicomanagement is niet een nieuw fenomeen. In iedere organisatie zijn immers al
procedures, maatregelen, (ISO) richtlijnen en controles aanwezig die tot doel hebben om
risico’s te managen en te beheersen. Bekende beheerssystemen zijn onder meer de
administratieve organisatie, interne controles, milieu- en kwaliteitsmanagement (ISO-
14001 en ISO-9001). Er kan worden gesteld dat iedere organisatie reeds aan
risicomanagement doet [Paape, 2005].
3.2 Risico
Om vast te stellen wat onder risicomanagement moet worden verstaan is het van belang
eerst vast te stellen wat een risico is. Risico is geen eenduidig begrip. Er zijn meer
definities van het begrip risico gangbaar. Vier van deze definities zijn [International risk
governance council , 2005] een overzicht van de meest gehanteerde terminologieën:
1. risico is de kans op een ongewenste gebeurtenis bij een proces of object;
2. risico is kans x gevolg;
3. risico is de onzekerheid (kans) dat een gebeurtenis zich voordoet waarbij zowel
positieve als negatieve effecten kunnen optreden;
4. risico is de kans op een gebeurtenis, die de doelstelling kan beïnvloeden.
9

De eerste definitie is voor het algemene geval niet goed bruikbaar. De risico’s die
betrekking hebben op kleine kansen met zeer grote gevolgen of grote kansen met kleine
gevolgen, zullen bij gebruik van de eerste definitie niet goed tot uitdrukking komen.
De tweede definitie geeft een betere basis voor vergelijking van risico’s. het betreft de
meest gangbare definitie, waarbij de kans op een bepaalde gebeurtenis wordt
gecombineerd met de gevolgen daarvan in de veelgebruikte formule ‘risico = kans x
gevolg’. In feite wordt een verwachtingswaarde van het gevolg van een proces bepaald.
In sommige gevallen komt dit overeen met het verlies dat mogelijk op de lange termijn
optreedt. De kans op een ongewenste gebeurtenis en het gevolg van deze gebeurtenis
spelen een even belangrijke rol in deze definitie.
De derde definitie zet risico neer als een neutraal begrip (kansen en bedreigingen). In feite
zijn de eerste twee definities bijzondere vormen van de derde. Het biedt de mogelijkheid
om aan het gevolg van een ongewenste gebeurtenis een gewicht toe te kennen, dat
afhankelijk is van de ernst van het gevolg. Deze effecten kunnen beleidsmatig-,
organisatorisch, politiek/bestuurlijk en/of financieel van aard zijn.
De vierde definitie tenslotte is de meest algemene van de vier genoemde, waarbij
aansluiting wordt gezocht bij het omgaan van onzekerheden die zowel positieve als
negatieve effecten kunnen hebben op de resultaten en daarmee doelstellingen van een
organisatie. Voor een organisatie zijn risico’s alle potentiële gebeurtenissen die het
behalen van de doelstellingen van de organisatie kunnen bevorderen dan wel kunnen
belemmeren. Deze definitie sluit het meest aan bij de definitie van ‘risico’, volgens ISO
31000: “Het effect van onzekerheid op doelstellingen’.
De in dit onderzoek gehanteerde definitie voor risico is dan ook als volgt gedefinieerd:
Risico is de onzekerheid dat een gebeurtenis zich voordoet waarbij zowel positieve als
negatieve effecten kunnen optreden, die van invloed zijn op het doelbereik.
3.3 Risicomanagement
Over het begrip risicomanagement circuleren in de wetenschappelijke literatuur talrijke
definities. Het International Risk Governance Council geeft in haar publicatie [2005] een
overzicht van de meest gehanteerde terminologieën.
De meest gangbare definities van risicomanagement kunnen als volgt worden
onderverdeeld:
1. Risicomanagement is het geheel van activiteiten en maatregelen gericht op het
omgaan met en beheersen van risico’s.
10

2. Risicomanagement omvat de gecoördineerde activiteiten om een organisatie te kunnen
sturen en controleren met betrekking tot risico´s.
3. Risicomanagement is het vormgeven van een gestructureerd proces van identificeren,
analyseren, managen en rapporteren van risico’s op alle niveaus in de organisatie.
4. Risicomanagement is een proces dat bewerkstelligd wordt door het bestuur van de
onderneming, het management en ander personeel en wordt toegepast bij het
formuleren van de strategie en binnen de gehele onderneming, ontworpen om
potentiële gebeurtenissen die invloed kunnen hebben op de onderneming te
identificeren en om risico´s te beheren zodat deze binnen de risicoacceptatiegraad
vallen, om een redelijke zekerheid te bieden ten aanzien van het behalen van de
ondernemingsdoelstellingen.
5. Risicomanagement omvat de cultuur, processen en structuren, gekoppeld aan een het
realiseren van kansen en het effectief management van de effecten daarvan.
De eerste drie definities richten zich in min of meer dezelfde terminologie op de te
doorlopen basisstappen van het risicomanagementproces. In de traditionele
risicobenadering worden twee fasen onderscheiden: het identificeren en beoordelen van
risico’s (risicoassesment) en het nemen van maatregelen die niet acceptabel geachte
risico’s beperken of beheersbaar maken (risicomanagement) [Wetenschappelijke Raad
voor het Regeringsbeleid, 2008].
Ongeacht de exacte uitwerking en invulling van de verschillende stappen komt overal
hetzelfde grondpatroon van vier stappen naar voren. De eerste stap is het identificeren
van risico’s, waarbij het zaak is een zo volledig mogelijk beeld te krijgen van de
verschillende risico’s binnen een organisatie. Wanneer de risico’s bekend zijn, is het zaak
deze te beoordelen. Dit schept duidelijkheid over de vraag welke risico’s de grootste
bedreiging vormen en waarvoor het eerst beheersmaatregelen genomen moeten worden.
Vervolgens ontwerpt men tijdens de volgende fase, aan de hand van de prioriteiten,
beheersmaatregelen. Ook de implementatie van beheersmaatregelen behoort tot deze
fase. De laatste stap is het rapporteren over de risico’s en beheersmaatregelen en de
evaluatie van de laatste. Om de risico’s zo klein mogelijk te houden of de gevolgen zo
goed mogelijk op te kunnen vangen, is continue aandacht voor alle vier de stappen
noodzakelijk. Hierbij is het van belang om zowel naar het te verwachten gevolg van een
risico te kijken als naar de kans dat het zich voordoet, alsmede naar de kosten (in tijd,
geld en middelen) van het nemen van beheersmaatregelen.
De vierde definitie omvat een expliciete koppeling naar het doelbereik en is afkomstig van
het COSO. Het is echter een zeer uitgebreide definitie. “Why not adopt a definition that is
11

ief and easily remembered?” [Knight, 2008]. Volgens Knight staat niet zozeer het
gebruik van een juiste definitie centraal. Succesvol risicomanagement is alleen dan
mogelijk, wanneer dit is gekoppeld aan het bereiken en managen van doelstellingen.
De vijfde definitie (Australian/New Zealand Risk Standard 4360) toont aan dat niet alleen
de te doorlopen stappen van belang zijn, maar dat de (aanwezigheid) van cultuur- en
structuuraspecten van groot belang is, voor een succesvol risicomanagement binnen een
organisatie. Daarnaast maakt de definitie duidelijk dat risicomanagement pas effectief
werken als het een integraal onderdeel is van processen in een organisatie.
De definitie voor risicomanagement, zoals gehanteerd in dit onderzoek is ontleend aan de
definitie voor kwaliteitsmanagement uit ISO-9000 [Bergenhenegouwen, 2003] en
aangevuld met de koppeling naar doelbereik.
Risicomanagement omvat de gecoördineerde activiteiten, gekoppeld aan een effectief
management van gebeurtenissen en de effecten daarvan op de doelstellingen van de
organisatie.
3.4 Risicoraamwerk
Met de inwerkingtreding van de Foreign Corrupt Practices Act in 1997 in de Verenigde
Staten, is de ontwikkeling van interne beheersing in een stroomversnelling geraakt
[Santen, 2006]. Deze wet bepaalt dat het illegaal is om een inadequaat intern
beheersingsysteem te voeren. De vele financiële (boekhoud- en rapporterings-)
schandalen die volgden, zorgden voor de verdere ontwikkeling van risicomanagement. Het
heeft geleid tot de corporate governancestructuren, zoals de Sarbanes Oxley wetgeving uit
de Verenigde Staten.
Ook Europa en ons eigen land zijn niet vrij van de nodige missers en schandalen
(Worldonline, Ahold, Qwest, ESF/Arbeidsvoorziening, de bouwfraude, de Hogescholen
fraude enzovoort). Mede daarom zijn in Europa en in Nederland diverse wetgevende
initiatieven ontplooid [Herwaarden, 2003]:
de International Financial Reporting Standards (IFRS) die vanaf 2005 verplicht moeten
worden toegepast in de geconsolideerde jaarrekeningen van beursgenoteerde
vennootschappen in Europa;
aanbevelingen van de commissie-Peters inzake corporate governance, goed
ondernemingsbestuur en -toezicht (1997) met het bijbehorende evaluatierapport
(2002) over vijf jaar corporate governance in Nederland inzake de status van de
aanbevelingen van de commissie-Peters;
12

corporate governance code voor Nederland, opgesteld door de commissie onder leiding
van Morris Tabaksblat [Code Tabaksblat, 2003].
In de code Tabaksblat zijn de belangrijkste uitgangspunten van een goede corporate
governace uitgewerkt met betrekking tot het bestuur, de raad van commissarissen, de
aandeelhouder en de accountant. De code gaat wat betreft reikwijdte verder dan
Sarbanes-Oxley (PwC 2005). In de code wordt gesteld dat als onderdeel van het interne
beheersings- en controlesysteem, een vennootschap onder meer risicoanalyses uit dient te
voeren van de ‘operationele’ en financieel doelstellingen. De code geeft echter geen
nadere richtlijnen ten aanzien van de inrichting van de interne beheersings- en
controlesystemen. Daarnaast worden de ondernemingen vrij gelaten in de wijze van
rapporteren over de gehanteerde risicobeheersings- en controlesystemen (PwC, 2005). De
code is overigens alleen van toepassing op statutair in Nederland gevestigde en aan de
Euronext genoteerde ondernemingen, dat wil zeggen op circa 0,2 % van de in Nederland
gevestigde ondernemingen van toepassing [Santen e.a.; 2006].
De vraag lijkt gerechtvaardigd of wettelijke verankering van eisen ten aanzien van
risicomanagement de oplossing is [PwC, 2005]. Het gevaar schuilt erin dat
risicomanagement wordt ervaren als een verplichte managementtool, met als uiteindelijke
doel: het hebben voldaan aan wet- en regelgeving. In de loop der jaren zijn er voor het
managen van risico’s verschillende modellen gebruikt. “In seeking help, you’ll find an
abundance of risk management frameworks, (..) developed by consulting organizations,
national standards (..).[Rasmussen, 2007].
In 1992 werd er in de Verenigde Staten een framework gepresenteerd voor interne
beheersing. Dit framework: ‘Committee of Sponsoring Organizations of the Treadway
Commission’ (COSO) richt zich in eerste instantie op de interne beheersing van de
financiële processen van een onderneming. Kanttekening bij dit model is dat er weinig
aandacht is gegeven voor gedragsverandering [Santen e.a., 2006; Faber, 2006], dat het
niet voorziet in een eenduidig normenkader (Faber, 2006) en dat een eenduidige
stappenplan ontbreekt voor de implementatie van risicomanagement binnen een
organisatie [Faber, 2006].
Eind 2004 is er een nieuwe versie van het COSO raamwerk gepubliceerd [COSO, 2004], te
weten Enterprise Risk Management-Integrated Framework (COSO-ERM) waarbij de nadruk
meer is komen te liggen bij risicomanagement ten opzichte van de eerste versie van het
COSO raamwerk en de explicietere koppeling naar strategie voor de inrichting van
risicomanagement en interne beheersingsystemen.
13

Feyter [2006] plaatst als kanttekening bij het herziene COSO-model dat de principes niet
rechtstreeks aansluiten op de reguliere ‘planning & control’-cyclus waaraan de interne
beheersing in het Nederlandse ondernemingen doorgaans wordt opgehangen. Juist deze
verankering van interne beheersing en risicomanagement aan deze cyclus maakt dat
risicobeheersing blijvend onder de aandacht wordt gehouden en dat het een natuurlijk,
onderhoudbaar en herkenbaar proces wordt.
Een ander nadeel dat in de literatuur wordt genoemd [Feyter, 2006], is dat COSO toch nog
vooral lijkt uit te gaan van centraal geleide, ‘topdown’ gestuurde organisaties. Dat is
enigszins begrijpelijk omdat het een Amerikaanse publicatie is. Maar voor Nederlandse
organisaties is dit gegeven wel iets om rekening mee te houden wanneer zij de principes
naar hun eigen organisatie vertalen, zeker als deze niet, zoals veel Amerikaanse
bedrijven, topdown wordt aangestuurd. De strategie, organisatiecultuur en de keuze van
besturingsprincipes bepalen immers in grote mate de wijze waarop de interne beheersing
wordt ingericht. Het typeren van de strategie en de besturingsprincipes wordt regelmatig
vergeten of onderbelicht bij het vastleggen, begrijpen en beoordelen van de interne
beheersing.
COSO erkent de invloed van organisatiecultuur op de effectiviteit van het raamwerk en
daarmee van risicomanagement. Als belangrijkste kanttekening benoemt de organisatie de
menselijke oordeelsvorming bij het nemen van onvolledige of onjuiste beslissingen. Een
andere beperking is het kunnen omzeilen van beheersmaatregelen door samenspanning
van twee of meer mensen, waardoor het management de mogelijkheid heeft om
beslissingen, genomen in het kader van risicomanagement, terzijde te schuiven (Coso
2004).
De aanleiding voor organisaties om risicomanagement vorm te geven verschilt sterk en is
bepalend voor de effectiviteit ervan. Volgens Knight houdt COSO hier onvoldoende
rekening mee: “COSO slips into the fatal fallacy of trying to tell us ‘how’ to do it rather
than ‘why’ “[Knight, 2008].
In de praktijk blijkt het vaak moeilijk om organisaties duurzaam enthousiast te maken
voor het onderwerp risicomanagement en interne beheersing als zodanig, laat staan om
daarbij expliciet het COSO-raamwerk te hanteren [Faber, 2006]. Dit gebrek aan
enthousiasme wordt vaak veroorzaakt door het hardnekkige misverstand dat
risicomanagement en interne beheersingssystemen het goed functioneren en het
aanpassingsvermogen van organisaties eerder belemmeren dan bevorderen.
14

Volgens Ali Samad-Khan [2005] geeft COSO een gesimplificeerd beeld van de
werkelijkheid, dat kan leiden tot een logge controlstructuur, met een grote kans dat
gebieden worden ontzien, waar juist de grootste risico’s zich kunnen voordoen. Hij is
stellig ten aanzien van de tekortkomingen van COSO: “Coso not only fails to help a firm
asses its risks, it actually obfuscates the risk management process”.
Ondanks genoemde kanttekeningen, wordt COSO internationaal nog steeds gezien als hét
raamwerk voor interne beheersing. Ook Tabaksblat [2003] noemt in de code het COSO
raamwerk voor interne beheersing, als voorbeeld voor een te gebruiken normenkader om
te voldoen aan de eis dat het bestuur verklaart dat de interne risicobeheersings- en
controlesystemen adequaat en effectief zijn.
Voor de integrale benadering van risicomanagement dreigt een wildgroei aan verschillende
systemen en richtlijnen [Hortensius, 2007]. Naast COSO zijn er ook nog andere
risicoraamwerken ontwikkeld, waarvan de standaard vaak haar oorsprong heeft binnen
een bepaalde branche of bepaald land (Paape, 2005). Zo is er de Australian/New Zealand
Risk Management Standard 4360 waarvan reeds in 1995 de eerste versie werd uitgegeven
door de Council of Standards van beide landen. In 1999 en in 2004 verscheen een
geactualiseerde versie van deze standaard. Voorbeelden van branchespecifieke
risicomanagement-standaarden zijn Bazel IT voor het bankwezen en Solvency II voor de
verzekeringsbranche.
3.5 ISO-31000
Ook de Internationale Organisatie voor Standaardisatie (ISO) heeft van zich laten horen
op het terrein van risicomanagement: in 2002 verscheen een richtlijn voor het gebruik van
risicomanagementtermen in standaarden [ISO/TEC Guide 73]. ISO is een non-
gouvernementeel netwerk van nationale standaardisatieorganisaties, waar instituten uit
157 landen (onder wie ook het Nederlands Normalisatie-instituut NEN) bij zijn
aangesloten. ISO is opgericht in 1947, met als doel om normen vast te stellen en om
organisaties voordeel te laten halen uit het toepassen van internationale normen en uit de
implementatie van kwaliteitsmanagement-systemen [Schoutrop, 2006]. ISO heeft
inmiddels 17000 standaarden ontwikkeld, ieder jaar worden 1100 nieuwe gepubliceerd
[ISO.org, november 2008]. De standaarden kunnen worden toegepast voor elke
organisatie.
15

Het publiceren van een ISO-richtlijn voor het gebruik van risicomanagementtermen in
standaarden kent zijn oorsprong in 1995. In dat jaar confronteerde de aardbeving Japan
met het belang van het inschatten van risico’s en het treffen van maatregelen om effecten
van onverwachte gebeurtenissen te minimaliseren. Daarom pleitten de Japanse
autoriteiten tien jaar geleden voor een universele norm voor risicomanagement, te
ontwikkelen door ISO. Uit angst bij het bedrijfsleven voor een nieuwe golf van
certificering, werd gekozen voor een ‘veilige’ oplossing, namelijk de ontwikkeling van een
Guide met termen en definities op het gebied van risicomanagement. Dat werd uiteindelijk
ISO/IEC ´Guide 73, Riskmanagement – Vocabulary–Guidelines for use in standards`, die
in 2002 werd gepubliceerd. De titel geeft al aan dat de Guide vooral bedoeld was om
harmonisatie te bevorderen binnen het bouwwerk van ISO-normen. Een uniform
taalgebruik helpt dan al om vanuit die specifieke normen en richtlijnen een meer integrale
kijk op risico ’s te ontwikkelen.
In 2005 slaagde Japan er met de hulp van Australië toch in de geesten rijp te maken voor
een algemene richtlijn voor risicomanagement. Door ISO is in 2005 besloten een
internationale generieke ISO-richtlijn voor Risicomanagement te ontwikkelen: ISO 31000
“Risk management - Guidelines for principles and implementation of risk management.”
ISO 31000 beoogt een gemeenschappelijk begrippenkader en generiek raamwerk te
bieden voor het managen van allerlei typen risico’s. Naderhand is ook de herziening van
ISO Guide 73 “Risk Management – Vocabulary” aan de ISO-werkgroep toevertrouwd.
Via NEN, het Nederlandse lid van ISO, wordt door Nederlandse belanghebbende partijen
deelgenomen aan dit ISO-project. Hiertoe is in 2006 de normcommissie
Risicomanagement opgericht. De doelstelling van de normcommissie is tweeledig (NEN,
2008). Enerzijds verzorgt en bepaalt de normcommissie de Nederlandse inbreng bij de
internationale normalisatie op het gebied van Risicomanagement (Risk Management),
zoals die plaatsvindt in de internationale werkgroep ISO/TMB/WG/RM. Anderzijds
faciliteren de normcommissie de implementatie en toepassing van de generieke ISO-
richtlijn op nationaal en bedrijfstakniveau, zo nodig door het ontwikkelen van specifieke
richtlijnen die een nadere invulling geven van het generieke ISO-kader voor
risicomanagement [NEN, 2008]. Zie voor een toelichting op de Nederlandse
Normcommissie Nederland ook bijlage 3.
Een ISO-richtlijn als overkoepelend raamwerk voor risicomanagement lijkt voor de hand te
liggen. De verschillende afzonderlijke ISO-normen voor managementsystemen, zoals ISO
9001 en ISO 14001, beschrijven immers al systemen voor het beheersen van maatregelen
16

en risico’s, waarbij de eerder genoemde stappen uit de risicomanagementcyclus (risico-
identificatie, risico-analyse, monitoring risico’s en bijsturen) moeten worden doorlopen.
Het managementsysteem zoals beschreven in de verschillende normen zijn in de kern
risicomanagementsystemen voor specifieke risico’s, zoals kwaliteits- en milieurisico’s.
Deze normen voor managementsystemen beschrijven wat een organisatie moet doen om
de (risicoaspecten van) haar processen en activiteiten te managen zodat de resultaten en
uitkomsten aansluiten bij de vastgestelde doelstellingen. Goede managementsystemen
zijn gebaseerd op twee principes: de procesbenadering en de Demingcirkel (Hortensius,
2003). De procesbenadering houdt in dat de bedrijfsprocessen uitgangspunt zijn voor de
inrichting van het managementsysteem. De Demingcirkel [Deming, 1987] betreft de
opeenvolgende fasen van een proces (Plan, Do, Check, Act) dat is gericht op het realiseren
van doelen op een steeds effectievere en efficiëntere manier. Door de Demingcirkel steeds
opnieuw te doorlopen, en de daarmee behaalde resultaten, kunnen managementsystemen
worden verbeterd.
Als managementsysteem is ISO-31000 dan ook op de Demingcirkel en op een
procesbenadering gestoeld. ISO-31000 bestaat uit drie hoofdonderdelen [NEN, 2008]: (1)
de uitgangspunten voor risicomanagement, (2) het raamwerk voor risicomanagement en
(3) het risicomanagementproces.
Figuur 1. Onderlinge samenhang van de onderdelen van ISO 31000
a) Het voegt waarde toe en dr aagt bij
aan organ isatieverbetering
b) Integraal onderdeel van
(besluitvormings)processen
c) Het is m aat wer k, p assend
bij de organisatiecontext
d) Een system atisch en op
feiten gebaseerd proces
e) Het is open en tran sparant en
houdt rekening met
menselij ke en culturele
factoren
Uitgangspunten
Bron: Hortensius, 2008
Continue
verbeteren
van het
raamwerk
Mandaat
en commitment
Ontwerp het raamwerk
v oor risicomanagement
Monitoren en
analyserenv an
het raamwerk
Raamwerk
Implementeren
van
risicomanagement
Proces
17

Om als effectief instrument te kunnen dienen, gelden met betrekking tot ISO-31000 onder
meer de volgende principes voor risicomanagement:
1. Het voegt waarde toe en draagt bij aan organisatieverbetering
2. Het is een integraal onderdeel van (besluitvormings)processen
3. Het is maatwerk, passend bij de organisatiecontext
4. Een systematisch en op feiten gebaseerd proces
5. Het is open en transparant en houdt rekening met menselijke en culturele factoren
De eerst drie kenmerken vormen de basis voor het raamwerk van risicomanagement, de
laatste twee zijn vooral terug te vinden in het risicomanagementproces.
In het hart van het proces, zitten de bekende stappen van het identificeren, analyseren en
evalueren van risico’s, zoals deze verbonden zijn aan het proces, product, project of
organisatie als geheel. Die stappen vormen samen de risicobeoordeling.
Ook het Nederlands Instituut voor Registeraccountants (NIVRA) geeft in haar publicatie
‘Via interne beheersing naar Corporate Governance’ [2002] aan dat voor een effectieve
risicobeoordeling, de organisatiedoelstellingen voor processen en activiteiten moeten
worden vastgesteld en in onderlinge samenhang beoordeeld. Die beoordeling kan alleen
worden uitgevoerd, als de context en scope goed zijn bepaald. Die context wordt
gedeeltelijk ontleend aan het risicomanagement-raamwerk, maar voor de
risicobeoordeling van een specifieke situatie kan en moet die context gedetailleerder
worden bekeken. Aan een dergelijke contextbepaling worden bijvoorbeeld specifieke
criteria ontleend om de risico’s te beoordelen. Vanuit de contextbepaling wordt ook
duidelijk welke personen/afdelingen/programma’s/projecten moeten worden geconsulteerd
of betrokken bij de risicobeoordeling. Op basis van de beoordeling wordt vervolgens
besloten of en hoe het risico wordt behandeld.
Het raamwerk dient daarbij als een kader om ervoor te zorgen dat
risicomanagementprocessen ingebed worden en aansluiten bij de algemene
besluitvormingsprocessen van de organisatie.
18

Figuur 2. Risicomanagementproces volgens ISO 31000
6.2
Com m unicatie en
advies
bron: Hortensius, 2008.
6.3 Bepaal de context
6.4 Risico beoordeling
6.4.2 Risico identificatie
6.4.3 Risico analyse
6.4.4 Risico evaluatie
6.5 Risicobeheersing
6.6
M o n ito re n
en
evaluatie
ISO-31000 tracht een complete beschrijving te geven van de verschillende zaken die
relevant zijn voor risicomanagement. Daarbij wordt niet alleen ingezoomd op het
risicomanagementproces, maar ook op de context ervan, waarin mandaten worden
afgegeven door opdrachtgevers en waarbij stakeholders nadrukkelijk worden betrokken bij
het proces.
Door het benoemen van zowel de context als het proces zelf, ontstaan twee nauw met
elkaar verweven processen:
(1) het opstellen, uitvoeren, monitoren en bijsturen van het risicomanagement raamwerk,
als een kader om ervoor te zorgen dat risicomanagementprocessen ingebed worden en
aansluiten bij de algemene (besluitvormings)processen van de organisatie.
(2)het opstellen, uitvoeren, monitoren en communiceren van het
risicomanagementproces. Tevens worden principes van risicomanagement betrokken bij
deze twee processen, die in grove lijnen dienen als sturende elementen achter de
voorgaande twee processen.
Belangrijke uitgangspunt is overigens dat ISO-31000 geen eisenstellende (certificeerbare)
norm wordt voor een risicomanagementsysteem. Iedere organisatie of sector kan het
beste zelf bepalen welke risicomanagementaanpak het beste past bij haar doelen,
(markt)situatie, klanten e.d. “For this reason, the ISO 31000 is designed not to be
certifiable but to focus on general principles and guidelines.”[Shortreed, 2007].
Certificering heeft bovendien voor de meeste organisaties vooral een externe functie: het
onafhankelijke bewijs richting klanten of andere belanghebbenden, dat er sprake is van
een managementsysteem dat aan de norm voldoet [Hortensius, 2003]. Daarvoor bestaat
19

vooralsnog geen draagvlak onder de leden van ISO en dat was ook het standpunt van de
door NEN in Nederland geconsulteerde belanghebbende partijen toen in 2005 een stem
moest worden uitgebracht op het ISO-voorstel [Hortensius, 2008].
In een vergelijking van COSO en ISO 31000 schetst Awad Loubani de belangrijkste
verschillen tussen de 2 modellen. Concluderend kan worden gesteld dat ISO 31000 meer
de ruimte biedt om een maatwerkoplossing voor risicomanagement te zijn dan COSO.
[Loubani, 2008].
3.6 Risicoagenda bij Provincies
De strategische context van de provinciale organisatie is van groot belang om de
toepasbaarheid van risicomanagement te kunnen duiden. De strategische invulling van de
Provincie verschilt op een aantal onderdelen namelijk wezenlijk van die van private
organisaties. Daaruit kan worden afgeleid dat strategievorming in de publieke sector extra
complex is. De eigen kenmerken van strategievorming bij de overheid [Ter Braak en Van
’T Spijker, 1993; Valens, 1993] zijn als volgt:
1. Multi-organisatiestrategie. Een overheid met een breed takenpakket en veel
organisatieonderdelen zal vaak geen strategie formuleren in termen van een missie
voor één organisatie maar een multi-organisatiestrategie, dus voor meerdere
onderdelen die elk eigen taken vervullen, zoals een sociale dienst, of openbare werken.
2. Minder concurrentie. Door de eigenstandigheid van overheden en de beperkte
mogelijkheden tot concurrentie is een strategieformuleringsproces minder op scherpe
profilering gericht: het generieke krijgt 'veel plaats toegemeten', het specifieke veel
minder. Overheden kunnen niet zomaar zeggen dat ze bepaalde taken niet uitvoeren
en zich profileren op een bepaalde taak.
3. Functie en soorten produkten en diensten zijn anders. Een ander verschil is dat een
bedrijf handelt in een overigens meestal veel beperkter aantal produkten en diensten,
maar een overheid heeft eveneens een functie bij de ontwikkeling van
maatschappelijke normen en waarden en de handhaving daarvan ten aanzien van de
gedragingen van burgers.
4. Meer doelstellingen. Een private organisatie kan zich richten op een beperkt aantal
doelstellingen en bij een overheid is dat meestal niet het geval. Een
overheidsorganisatie heeft vele taken te vervullen. Bij een private organisatie is de
initiële doelstelling vaak nog herkenbaar, bij een overheid ligt dit anders.
5. Vage doelstellingen. In een private organisatie zijn tamelijk precieze doelstellingen te
formuleren. Bij een overheid zijn doelstellingen meestal veel vager. Dit laatste wordt
ten eerste veroorzaakt door de complexiteit van bepaalde problemen die een overheid
20

onmogelijk zelf alleen kan oplossen; denk bijvoorbeeld aan
gezondheidszorgvraagstukken. Een tweede oorzaak is de organisatie van de politieke
democratie; politieke vertegenwoordigers van verschillende statenfracties dienen
vooral compromissen te sluiten om tot een meerderheidsbesluit te komen. Een derde
oorzaak is gelegen in de organisatie van het openbaar bestuur zelf, waarbij wetgeving
van uitvoering gescheiden is.
6. Openbaarheid. De besluitvorming in een private organisatie voltrekt zich doorgaans
niet in de openbaarheid (hoewel er veelal jaarcijfers gepubliceerd worden) terwijl dat
bij een overheid doorgaans wel het geval is.
7. Pluriforme samenleving. In private organisaties is minder dan in de overheidssfeer
sprake van de noodzaak om rekening te houden met pluriformiteit in de samenleving,
zowel qua (doel)groepen van burgers als qua organisaties, die op de een of andere
wijze bij beleid betrokken zijn. Ze hebben voorkeuren en kunnen mee- en
tegenwerken. In het openbaar bestuur is bovendien sprake van een enorme variëteit
aan doelgroepen, belangengroepen en andere betrokkenen. Ook dit compliceert de
strategievorming bij de overheid.
8. Politieke cyclus. Een laatste argument is dat in de overheidssfeer sprake is van een
politieke cyclus, de periode tussen verkiezingen, van vier jaar of korter. Daardoor
bestaat er druk om voorrang te geven aan beleid dat al op korte termijn zichtbaar is of
vruchten afwerpt, boven het ontwikkelen van een lange termijnvisie en het 'oogsten'
later dan na vier jaar. Bij private organisaties is die cyclus afwezig.
Scholes en Johnson [2004] spreken van emergent strategieën, die ontstaan vanuit
dagelijkse routines, activiteiten en processen in een organisatie. De auteurs zetten dit af
tegen intended strategieën, een uiting van een gewenste strategische koers, nadrukkelijk
geformuleerd en uitgedragen door het management van een organisatie. Bij Provincies is
sprake van emergent strategievorming, omdat sprake is van veelal decentraal verlopende
processen. Vanuit de verschillende beleidsvelden (bv. Ruimtelijke Ordening of Economie)
wordt veelal specifieke strategie ontwikkeld, zodat ruimte is voor het inspelen op kansen
die zich voordoen.
Herman (2004) benoemt dat, ondanks dat risicomanagement voor non-profitorganisaties
veelal intuïtief plaats vindt, de noodzaak voor een gestructureerde aanpak wenselijk is.
De externe omgeving van de Provincie is complex en turbulent. De toekomst van de
Provincie als bestuurslaag staat daarnaast ook nog ter discussie. Anticiperend op die
onzekerheid, zal vooral aandacht voor een effectieve strategische aanpak van de
maatschappelijke vraagstukken, zoals ze door de provinciale partners en klanten naar
voren worden gebracht, het bewijs voor de toegevoegde waarde van de Provincie moeten
21

leveren. Resultaat en rekenschap over de prestatie van de Provincie is daarbij van groot
belang. Risicomanagement als instrument om te prioriteren en als sturingsmiddel om
mensen en processen te richten op het bereiken van de (coalitie)doelstellingen wordt
daarmee steeds belangrijker.
De opkomst van de risicoagenda bij Provincies wordt ingegeven door vijf ontwikkelingen;
1. Economische crisis
De actualiteit van de economische crisis toont de kwetsbaarheid aan van (regionale)
overheden. De kredietcrisis heeft drie Provincies getroffen; Noord-Holland, Groningen en
Zeeland en toont aan dat niet alleen in de financiële wereld sprake is van een toenemende
behoefte aan een adequaat functionerend risicomanagement. In de loop van 2008 bleek
dat gemeentelijke en provinciale overheden vele miljoenen euro's hebben uitstaan bij
IJslandse banken.
Bron: www.kredietcrisis.feeder.nl (17/10/8)
De Provincie Noord-Holland had € 98 miljoen staan op noodlijdende banken (Landsbanki in
IJsland en het Duitse Lehman Bankhaus). Een provinciale onderzoekscommissie heeft
onderzoek gedaan naar het door Gedeputeerde Staten vanaf 1 april 2007 gevoerde
bestuur aangaande het uitzetten van tijdelijk beschikbare financiële middelen. In haar
rapport ‘Triple R; Regels, rendement en Risico 2 ’ kwam de commissie onder meer tot de
conclusie dat de Provincie ten onrechte geen actief risicomanagement voerde. Als gevolg
van de uitkomsten van dit onderzoek is het voltallige college van gedeputeerde staten in
Noord-Holland in juni 2009 afgetreden.
Hoewel de kredietcrisis kan worden beschouwd als een uitzonderlijke ontwikkeling
(Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, 2008), zijn als gevolg hiervan
2 Triple R, regels, Rendement en Risico’, provinciale onderzoekscommissie Noord-Holland, 29 mei 2009.
22

wet- en regelgeving met betrekking tot het uitzetten van middelen door decentrale
overheden in tijden van onrust op de financiële markten, opnieuw kritisch tegen het licht
gehouden.
Behalve de gevolgen voor de beleggingen van de Provincie raakt de economische crisis de
Provincie ook op andere manieren. Op de eerste plaats kan de crisis zijn weerslag hebben
op toekomstige opbrengsten van de motorrijtuigenbelasting. Daarnaast is het niet
ondenkbaar dat de crisis impact heeft op de uitvoering van het in gang gezette beleid van
de Provincie. De partners die bij de uitvoering van beleid betrokken zijn, kunnen wellicht
moeilijker financieringsfaciliteiten aantrekken, die de uitvoering kunnen vertragen en/of
bemoeilijken. Daarnaast kan de toenemende onzekerheid ook leiden tot aarzeling om met
de overheid gezamenlijke projecten op te starten. Door de onzekerheid over de nabije
toekomst worden investeringen door ondernemingen uitgesteld of afgesteld. Banken
mijden risico’s meer dan voorheen en zijn kritischer bij het verstrekken van leningen
(positie private investeerders is daarbij nog een vraagpunt). Zowel de vraaguitval als de
vermindering van de investeringsbereidheid leiden tot de uitstoot van arbeid. Een groot
aantal Provincies heeft inmiddels een koers uitgezet, gericht op het verminderen van de
conjuncturele kwetsbaarheid van de provinciale economie. Als gevolg van deze
economische recessie 3 is extra overheidshandelen essentieel.
2. Afroming van Rijksuitkeringen
Een ander actueel thema dat het risicomanagement bij Provincies rechtvaardigt, is de
mogelijke afroming van rijksuitkeringen. Het Rijk maakt zich op voor een forse besparing
ten koste van de Provincies. Den Haag wacht op een rapport van zijn adviesorgaan ter
zake, de Raad voor de Financiële Verhoudingen. De daadwerkelijke inkomsten van de
Provincies liggen euro 600 mln tot euro 800 mln 4 boven het bedrag dat zij binnen
bestaande afspraken nodig hebben voor de uitoefening van hun taken. Dit bedrag wil Den
Haag afromen. Daarmee dreigen de Provincies meer dan de helft te verliezen van de
uitkering die zij jaarlijks krijgen van het Rijk. Dit Provinciefonds is jaarlijks goed voor ruim
euro 1,1 mrd. De twaalf Provincies krijgen samen verder euro 1,3 mrd binnen uit
belastingen en half zoveel uit dividend van nutsbedrijven. Dit zijn bij elkaar de algemene
middelen die Provincies voor eigen beleid mogen inzetten. Daarnaast ontvangen de
Provincies nog eens ruim euro 3 mrd aan doelheffingen, EU-subsidies en specifieke
uitkeringen voor taken die zij in opdracht van het Rijk uitvoeren. In tien jaar tijd zijn de
algemene middelen van de Provincies verdubbeld, met name door stijging van de
provinciale belastinginkomsten en dividenden. De discussie over de provinciale weelde is
3 Prognose Centraal Planbureau, 17 februari 2009.
4 Financieel Dagblad, 17 februari 2009.
23

op scherp gezet door de verkoop van de productie- en leveringsbedrijven van hun
energiebedrijven.
3. Decentralisatiediscussies
Het zijn roerige tijden voor de Provincies. In bestuurlijk Nederland leven vele
verwachtingen, ambities, frustraties en is er zelfs gelatenheid over de Provincies. Zo
speelde in 2006 de politieke discussie over de vorming van één randstadprovincie
[Remkes, 2006]. Open of gesloten huishouding 5 , gemeentelijke opschaling, decentralisatie
van taken met Rijk en gemeenten, discussie over de rijkdom van Provincies, enz. Tal van
rapporten van commissies [Mans 6 , Oosting 7 , Lodders 8 en De Hondt 9 ] gaan in op de
bestuurlijke ontwikkelingen in Nederland. Wie deze rapporten leest en op zich in laat
werken, komt tot de conclusie dat de veranderingen in de komende 5-7 jaar zeer groot
kunnen zijn, waarvan overheveling van taken en verantwoordelijkheden een belangrijk
deel uitmaken. Flexibel in kunnen spelen op veranderingen en het tijdig beoordelen van
consequenties van risico’s en kansen is daarbij van groot belang.
4. Veranderde wetgeving
Er zijn een aantal wetten en besluiten (besluiten bevatten regels die een uitwerking van
een wet zijn) die impact hebben op het managen van risico’s bij Provincies. Door wetten
en regels te stellen, worden risicovolle activiteiten van Provincie beperkt of verboden.
Wet Dualisering
Van de overheidsorganisaties wordt in toenemende mate gevraagd dat zij
verantwoording afleggen over de vraag of zij de goede dingen (doeltreffendheid), of zij
de dingen goed doen (doelmatigheid) en of zij daarbij voldoen aan wet- en regelgeving
(rechtmatigheid). Dit betekent dat het, ook voor de Provincie, van groot belang is
inzicht te hebben in het eigen handelen. Provinciale Staten (PS) en het College van
Gedeputeerde Staten (GS) hebben ieder een eigen rol bij het verkrijgen van dit inzicht.
Analoog aan de dualisering bij de gemeenten, werd daarna ook het Provinciebestuur
veranderd. In maart 2003 werd de Wet Dualisering Provinciebestuur ingevoerd. De
kern bij dualisering is de scheiding tussen vertegenwoordigende en bestuurlijke
verantwoordelijkheden. Daarnaast schrijft de wet Dualisering Provinciebestuur dat het
gevoerde beleid gecontroleerd moet worden en verplicht de Provincies daartoe een
onafhankelijke rekenkamer in te voeren. De provinciale rekenkamer moet zich vooral
met doelmatigheidsonderzoek bezighouden en mag alle provinciale documenten
5 Een open huishouding betekent dat een Provincie alle relevante opgaven in de regio kan oppakken. Bij een gesloten
huishouding, worden enkel wettelijk voorgeschreven taken ingevuld.
6 ‘De tijd is rijp’, commissie Mans, 10 juli 2008.
7 ‘Van specifiek naar generiek’, commissie Oosting, 8 oktober 2007.
8 ‘Ruimte, regie en rekenschap’, commissie Lodders, 17 maart 2008.
9 ‘Vertrouwen en verantwoorden’,’ commissie D’Hondt., 4 juni 2008
24

onderzoeken. De rekenkamer houdt zich bezig met onderzoek naar de doelmatigheid,
doeltreffendheid en de rechtmatigheid van het gevoerde bestuur.
Belangrijke verandering bij de invoering van de Wet Dualisering Provinciebestuur is dat
GS hun eigen bestuur dienen te controleren. Dit is vastgelegd in artikel 217a. Het
betreft het reguliere onderzoek naar doelmatigheid en doeltreffendheid van hun
bestuur. Doelmatigheid heeft betrekking op de vraag of de uitvoering van beleid
efficiënt heeft plaats gevonden, of met beschikbare middelen zoveel mogelijk resultaat
geboekt is. De vraag die bij doeltreffendheidonderzoek gesteld moet worden: in
hoeverre zijn de gewenste doelen en resultaten van beleid bereikt.
Provinciewet.
In de Provinciewet wordt het bestuur van de Provincies geregeld. Conform artikel 212
van de Provinciewet stellen Provinciale Staten bij verordening de uitgangspunten voor
het financiële beleid, alsmede voor het financiële beheer en voor de inrichting van de
financiële organisatie vast. De verordening waarborgt dat aan de eisen van
rechtmatigheid, verantwoording en controle wordt voldaan. De wet is in 1992 herzien,
houdende nieuwe bepalingen met betrekking tot Provincies.
Besluit Begroting en Verantwoording gemeenten en Provincies (BBV).
De Provinciewet schrijft voor dat elke Provincie jaarlijks begrotings- en
verantwoordingsstukken moet opstellen. Het Besluit begroting en verantwoording
Provincies en gemeenten (BBV) bevat de regelgeving daarvoor.
Het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BzK) heeft met de
introductie van het voorschrift van een weerstandsparagraaf een pioniersrol vervuld.
BZK heeft geleerd van de oppervlakkige toepassing van dat voorschrift
(Comptabiliteitsvoorschriften 1995) in de praktijk en met het nieuwe artikel 11 in het
BBV 10 de benadering aangescherpt door voor te schrijven dat de beschikbare
weerstandscapaciteit en het uitstaande risico, dus de benodigde weerstandscapaciteit,
moet worden berekend. Volgens het BBV 11 moet de weerstandsparagraaf tenminste de
volgende elementen omvatten:
a) Een inventarisatie van de weerstandscapaciteit, zijnde de middelen en
mogelijkheden waarover een gemeente beschikt of kan beschikken om niet
begrote kosten te dekken.
b) Een inventarisatie van de risico’s, waarvoor geen maatregelen zijn getroffen en
die van materiële betekenis kunnen zijn in relatie tot de financiële positie.
c) Het beleid omtrent de weerstandscapaciteit en de risico’s en de realisatie
daarvan.
10 Besluit Begroting en verantwoording Provincies en gemeenten, 17 januari 2003.
11 Besluit Begroting en verantwoording Provincies en gemeenten, 17 januari 2003, artikel 11, lid 2
25

Volgens de handreiking “duale begroting” van het ministerie van Binnenlandse Zaken
en Koninkrijkrelaties [BZK, 2002] zijn er voor Provincies twee methoden om met een
paragraaf om te gaan:
1. In de begroting worden in de paragraaf weerstandsvermogen de beleidskaders
vastgesteld en vervolgens de uitvoering hiervan weergegeven;
2. Vaststelling van een afzonderlijk beleidsnota voor de beleidskaders. In de paragraaf
weerstandsvermogen worden de relevante ontwikkelingen, de voortgang van de
beleidsuitvoering behandeld en de vraag gesteld, of de inhoud van het beleid nog
steeds van toepassing is.
Het is volgens het Ministerie van BZK [2002] niet voldoende om in de paragraaf
weerstandsvermogen jaarlijks de risico’s en de aanwezige capaciteit op te nemen. Het
is van belang dat er ook iets met de risico’s gebeurt. Een interprovinciale benchmark
van de weerstandsparagraaf [Bosman, 2008] laat zien dat de focus in genoemde
paragraaf ligt op (het berekenen van) het beschrijven van financiële risico´s. Volgens
Segers 12 [2008] zijn Provincies vrij om zelf invulling te geven aan de
weerstandsparagraaf. Aangezien de risico’s in de risicoparagraaf niet kwantificeerbare
risico’s betreffen, is het lastig om een minimumnorm voor de noodzakelijk geachte
weerstandscapaciteit te bepalen.
Een interprovinciale vergelijking 13 toont aan dat, vanaf de begroting voor het jaar
2005, de Provincies in toenemende mate over gegaan zijn tot het in kwantitatieve
grootheden afzetten van de weerstandscapaciteit tegen de gesignaleerde risico’s. Bij
de begroting voor 2009 hebben alle Provincies kwantitatieve gegevens over hun
risico’s vermeld, waarbij zich echter verschillen in de mate van gedetailleerd voordoen
(variërend van kwantitatieve aanduidingen over vrijwel alle genoemde risico’s tot
gegevens over slechts enkele risico’s; soms is alleen een totaalbedrag vermeld). Als
gekeken wordt naar de mate waarin de Provincies zelf conclusies trekken over hun
weerstandscapaciteit in relatie tot hun risico’s, blijkt dat alle Provincies zich uitspreken
over de toereikendheid van hun weerstandsvermogen. De Provincies achten hun
weerstandsvermogen toereikend of (ruim) voldoende.
Het BBV geeft nergens de richting voor criteria van een nota Weerstandsvermogen.
Provincies dienen de risico’s en de capaciteit zelf in kaart te brengen en te beoordelen.
12 William Segers, Hoofd Inspectie Financiën Lokale en provinciale Overheden, ministerie BZK, 24 juni 2008.
13 De Provinciale Financiën 2009, een interprovinciale vergelijking. Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, 11
mei 2009.
26

Doordat de risico’s die Provincies lopen verschillen, is het niet mogelijk een algemene
norm te stellen voor de omvang van de weerstandscapaciteit van een Provincie. In het
BBV wordt onvoldoende uitgelegd welke informatie gepresenteerd moet worden in de
paragraaf weerstandsvermogen. Dul [2007] adviseert dan ook om een aparte notitie
over de paragraaf Weerstandsvermogen uit te brengen door de commissie BBV.
Wet FIDO
De Wet financiering decentrale overheden (FIDO) bevat instrumenten die de risico’s
beperken die decentrale overheden lopen bij lenen en beleggen. De wet bevat nieuwe
normen voor het beheersen van risico´s op kort- en langlopende leningen
(respectievelijk de (herziene) kasgeldlimiet en de renterisiconorm). Voorts zijn de
decentrale overheden verplicht een treasurystatuut op te stellen en dienen Provincies
en gemeenten, door een wijziging van het Besluit comptabiliteitsvoorschriften 1995
een treasuryparagraaf in de begroting en het jaarverslag op te nemen. Het
belangrijkste uitgangspunt is het beheersen van financiële risico's. Daarom gelden er
op basis van deze wet kwalitatieve randvoorwaarden. Uit deze randvoorwaarden komt
naar voren dat bankieren (het aantrekken van gelden louter met het oogmerk om deze
tegen een hoger rendement uit te zetten) verboden is. Medeoverheden moeten zich bij
uitzettingen of leningen houden aan de Wet Fido. De wet FIDO is in 2000 aangescherpt
naar aanleiding van de Ceteco-affaire in Zuid-Holland.
Die strenge eisen die de wet Fido aan overheidsbeleggingen stelt, blijken overigens in
de kredietcrisis geen garantie te hebben geboden dat uitstaand geld veilig is. De
spaardeposito’s van Provincies en gemeenten bij Landsbanki en de obligaties van
Lehman Brothers voldeden (net) aan de ondergrens van Fido, maar bleken niet veilig.
Besluit accountantscontrole gemeenten en Provincies (BAPG).
Het Besluit accountantscontrole Provincies en gemeenten (BAPG, 2004) bevat
minimumeisen voor de accountantscontrole van de jaarstukken. De
Provincie/gemeente kan daar bovenop eigen eisen stellen. De introductie van het
dualisme is van invloed op de accountantcontrole. Sindsdien werkt de accountant
nadrukkelijker in opdracht van de Staten en niet meer van het college. Zo ondersteunt
hij de controlerende rol van de Staten. De accountant controleert de “getrouwheid” van
de jaarstukken. Hij gaat dus na of de cijfers het juiste beeld geven.
Sinds het begrotingsjaar 2004 wordt meer dan voorheen naar de “rechtmatigheid”
gekeken. De accountant bekijkt of de baten en lasten en de veranderingen in de balans
volgens de regels zijn verlopen, bijvoorbeeld of openbare werken volgens de Europese
regels zijn aanbesteed. Hij toetst de (financiële) rechtmatigheid aan regels van buiten
(Europa, Rijk, Provincie) en van binnen de Provincie. Afhankelijk van de uitkomst
geeft de accountant een goedkeurende of een niet-goedkeurende verklaring. Ook
maakt hij een rapport van bevindingen. Het BAPG bevat ook regels over wanneer de
27

accountant wel of niet goedkeurt en wel of niet iets in het rapport van bevindingen
opneemt. Ook hier kan de Provincie strengere regels vaststellen.
5. Nederlandse code voor goed openbaar bestuur
Governance richt zich op de belanghebbenden bij de organisatie, de daarmee
samenhangende doelstellingen van deze organisatie, en de verantwoordelijkheid van de
leiding van de organisatie om deze doelstellingen te realiseren. Er is een duidelijk
onderscheid tussen corporate governance en Government Governance.
Corporate governance is voornamelijk toegesneden op het bedrijfsleven: discussies
betreffen de verantwoordelijkheden van de Raad van commissarissen, de Algemene
vergadering van Aandeelhouders en de Raad van Bestuur, de aanwezigheid van adequate
interne beheersingssystemen, het afleggen van verantwoording en de rol en functie van
de accountant. De kern van de theorie is dat belanghebbenden binnen en buiten de
organisatie zijn gebaat bij een goede interne beheersing en een goede verantwoording
daarover.
Government governance is een begrip waarmee 'goed bestuur' in de publieke sector wordt
aangeduid. Onder government governance wordt verstaan: ‘Het waarborgen van de
onderlinge samenhang van de wijze van sturen, beheersen en toezicht houden van een
overheidsorganisatie, gericht op een efficiënte en effectieve realisatie van
beleidsdoelstellingen, alsmede het daarover op een open wijze communiceren en
verantwoording afleggen ten behoeve van belanghebbenden’ [Directie Accountancy
Rijksoverheid, 2000].
Er zijn in de laatste jaren meerdere governancecodes ontwikkeld, in verschillende
sectoren. Na de Nederlandse code voor corporate governance (‘code Tabaksblat’) zijn in
Nederland vergelijkbare codes ontwikkeld voor onder meer de sectoren zorg, onderwijs,
sociale woningbouw, cultuur, pensioenfondsen en omroepen. In juli 2009 heeft het Kabinet
een nieuwe Monitoring Commissie Corporate Governance Code benoemd. De Commissie
volgt de Commissie Frijns op, die in december 2008 de Code Tabaksblat heeft
geactualiseerd 14 . De belangrijkste aanpassingen liggen onder meer op het gebied van
risicobeheersing.
Vanzelfsprekend is ook voor overheidsorganisaties een goede governance van belang. Zij
moeten zich immers kunnen verantwoorden tegenover de politieke toezichthouders: de
Tweede Kamer, de Provinciale Staten of de Gemeenteraad. De Directie accountancy
Overheid (DAR) stelt in een handleiding Government Governance [2000] dat corporate
governance heeft geleid tot visies die bruikbaar zijn in de publieke sector, maar dat het
14 De Nederlandse corporate governance Code, Monitoring Commissie Corporate Governance Code, december 2008.
28

algehele kader waarin deze worden gepresenteerd als zodanig niet goed bruikbaar is in de
publieke sector. Er zijn immers belangrijke verschillen tussen publieke organisaties en
private organisaties (zie ook paragraaf 3.6). Het betreft zowel de structuur als de
processen die zich hierin afspelen.
In 2008 heeft een werkgroep een code voor goed openbaar bestuur ontwikkeld. Die is
bedoeld voor besturen van het rijk, Provincies, gemeenten, waterschappen en politie. Met
deze code maken organisaties in het openbaar bestuur duidelijk dat zij op basis van
dezelfde beginselen van goed bestuur willen handelen en optreden. In zowel de
handleiding government governance als het concept van de Nederlandse code voor goed
openbaar bestuur ontbreekt het aan een expliciete koppeling naar het gebruik van
risicomanagement.
3.7 Risicomanagement bij Provincies
Hoewel de risicoagenda aantoont dat de noodzaak voor een organisatiebrede toepassing
van risicomanagement bij Provincies meer dan ooit aanwezig is, toont onderzoek
[Boorsma; 2006, Dul; 2007] aan dat risicomanagement nog onvoldoende verankerd is in
de planning- en controlcyclus. De bevindingen worden gestaafd door
PricewaterhouseCoopers. In het onderzoek naar de manier waarop risicomanagement in
organisaties wordt bedreven, concludeert PwC dat met name bij de overheid een formeel
risicomanagementbeleid ontbreekt. [PwC, 2005].
Dat risicomanagement bij de overheid nog in de kinderschoenen, erkent ook Kruf,
voorzitter van de PRIMO, Public risk management organization (2008). ‘We kijken er lang
niet altijd systematisch en op het juiste niveau naar. Overheden nemen tal van besluiten
zonder de risico’s vooraf systematisch te calculeren. Pas bij de uitvoering komen de
risico’s dan aan het licht”. Ook Deloitte constateert dat er door organisaties in het
publieke domein nog weinig gebruik gemaakt wordt van risicomanagement bij het sturen
en beheersen van het collegeprogramma (Hofstra, 2007).
Een benchmark 15 naar het beleid en de verantwoording hierover in de
weerstandsparagraaf van de 12 Provincies [Bosman, 2008], toont aan dat
risicomanagement veelal als sturingsinstrument achteraf wordt gehanteerd en dat de focus
op financieel risicomanagement in plaats van organisatiebreed risicomanagement ligt.
Daarnaast toonde de benchmark aan dat er bij Provincies weinig aandacht is voor het in
kaart brengen en monitoren van de bij de risico’s behorende beheersmaatregelen. Een
eenduidige manier van rapporteren over risico’s is op basis van de interprovinciale
vergelijking niet te onderkennen.
15 Benchmark Provinciale jaarstukken 2007, in opdracht van de Kring van Provinciesecretarissen. 11 december 2008.
29

Veel overheidsorganisaties besteden weliswaar aandacht aan risicomanagement, maar dat
gebeurt op versnipperde wijze of louter op basis van actuele problematiek (Van ´t Hart,
2007). In vergelijking met het bedrijfsleven heeft de overheid nog een inhaalslag te
maken om risicomanagement systematisch op de kaart te zetten.
Risicomanagement, als onderdeel van de planning- & controlcyclus, dient een bijdrage te
leveren aan het realiseren van bestuurlijk gewenste doelstellingen, beleidseffecten en
prestaties van de Provincie. Hierbij is risicomanagement een methodiek voor het op
systematische wijze identificeren, analyseren, evalueren, beheersen, monitoren en
communiceren van de risico’s die samenhangen met een activiteit, functie of proces met
als doel het verschaffen van een redelijke mate van zekerheid dat de (strategische- en
operationele) doelstellingen van de organisatie zullen worden behaald.
In onderstaand model is het belang van een adequate koppeling van risicomanagement in
relatie tot het bereiken van doelen schematisch weergegeven. De koppeling van
strategische risico´s aan de operationele beheersing in processen, is hierin leidend. Het
toont aan dat risicomanagement in een organisatie plaats vindt op alle niveau’s binnen de
organisatie. Hierbij wordt ervan uitgegaan dat risicomanagement in ieder geval drie
gebruiksniveaus heeft: (1) het provinciaal bestuur als eindverantwoordelijke om de
doelstellingen te realiseren; (2) het College van Gedeputeerde Staten en de directie om de
organisatie zo effectief en efficiënt mogelijk in te zetten en (3) de ambtelijke organisatie
om interne en/of externe projecten te realiseren.
Figuur 3. Risicomanagementmodel Provincies. (Bosman, 2007)
Coalitieakkoord
Doe le n
PS:
Welke doelen en
m aatschappelijke
E ffecten?
GS en Directie:
Hoe gaan we dit bereiken?
A fdelingshoofden/
Programm amanagers:
Ho e voere n we dit uit?
missie
wettelijk
kader
Program ma
begroting
Productenram ing
jjjjj
Procesbeschrijvingen
Organisatievisie
Risico’s
Strategische risico’s
T actische risico’s
O perationele risico’s
30

Bovenstaand figuur schetst het belang van de organisatiebrede benadering van
risicomanagement bij Provincies. Organisatiebreed risicomanagement gaat uit van een
benadering waarbij het management op basis van haar bijdragen aan de realisatie van de
organisatiedoelstellingen wordt geïntegreerd en gecoördineerd over de gehele organisatie
[Van Moorsel, 2003]. Vaak ontbreekt het overigens aan een duidelijk beeld over de
toegevoegde waarde van risicomanagement, zowel op het bestuurlijke niveau als op
operationeel niveau [Marle en Haisma, 2008]. Van Doorn benoemt als belangrijke risico’s
voor de overheid: “[…] risico’s die de doelen bedreigen en de urgente risico’s die voor de
meerjarige agenda belangrijk zijn.” [2006]. Doorvertaald in een sturingsmechanisme duidt
Van Doorn het belang van een adequaat sturingsmechanisme: “[…] dat overwegend
betrekking heeft op het niveau houden en verbeteren van de processen en de organisatie”.
Als de verschillende lagen in een organisatie onvoldoende beseffen waarom aan
risicomanagement wordt gedaan en wat dit kan bijdragen aan hun functioneren, zal men
ook geen risicobewuste cultuur gaan uitdragen.
Bij het implementeren van risicomanagement moet men de toegevoegde waarde ervan
voor de verschillende niveaus in de organisatie voor ogen hebben. Pas als er een
duidelijke relatie zichtbaar is tussen eigen prestaties en risicomanagement, zal de
organisatie gaan bewegen. De toegevoegde waarde hangt nauw samen met belangen,
afgeleid van taken en verantwoordelijkheden die men heeft in een organisatie.
Met het toenemende belang van –en daardoor belangstelling voor– risicomanagement bij
de Provincies, neemt ook de behoefte toe aan een conceptueel raamwerk daarvoor. Een
falende risicobeheersing kan immers van directe invloed zijn op het belang dat de
stakeholder hecht aan deze overheidsdienst. Daarmee komt de legitimiteit van de
Provincie in het geding.
Het lijkt erop dat met het opstellen van een internationale standaard voor een raamwerk
voor het organisatiebreed managen van risico’s (ISO 31000) een belangrijke stap is
gemaakt naar deze gewenste koppeling tussen doelstellingen en processen, zoals in figuur
3 is weergegeven. ISO 31000 tracht een complete beschrijving te geven van de
verschillende zaken die relevant zijn voor risicomanagement. Daarbij wordt niet alleen
ingezoomd op het risicomanagementproces, maar ook op de context ervan, waarin
mandaten worden afgegeven door opdrachtgevers en waarbij stakeholders nadrukkelijk
worden betrokken bij het proces.
31

3.8 Operationaliseren van begrippen
De aandacht voor het vakgebied risicomanagement staat recent volop in de belangstelling,
zowel in profit als non-profit organisaties. Naast de te doorlopen stappen in het
risicomanagementproces, blijkt uit de verschillende definities van risico en
risicomanagement dat met name cultuur- en structuuraspecten belangrijk zijn als kritische
succesfactor voor een succesvolle toepassing van risicomanagement. Als kritische
succesfactor dienen:
1. Positionering van risicomanagement binnen de organisatie
2. Draagvlak van management en bestuur
3. Borgen van risicomanagement in proces
4. Aansluiting bij de doelstellingen van de organisatie
Er is een grote verscheidenheid aan werkwijzen en gehanteerde raamwerken voor
risicomanagement, waarbij veelal de beheersing van financiële risico´s ten behoeve van
de controlerende (externe) accountant centraal staat.
Met betrekking tot Provincies, blijkt uit literatuuronderzoek dat ISO-31000 een geschikt
kan zijn om risicomanagement toe te passen. Het sluit aan bij de complexe
besluitvormingsprocessen van de Provinciale overheid en de sterk veranderende externe
context waarin de Provincies zich bevinden.
Los van het te hanteren instrument, dient te worden beoordeeld in welke mate Provincies
invulling geven aan de positionering van risicomanagement binnen de organisatie
(structuur) en (het verbeteren van) het draagvlak voor risicomanagement bij het
management (cultuur).
Op basis van de kritische succesfactoren voor risicomanagement , de uitgangspunten voor
toepassing van ISO-31000 en de specifieke politiek-bestuurlijke context van Provincies,
kunnen de volgende criteria voor een succesvol risicomanagement bij Provincies worden
benoemd:
1. Verantwoordelijkheden zijn belegd op strategisch, tactisch en operationeel niveau
2. Er is sprake van een organisatiebreed risicobewustzijn, op zowel strategisch,
tactisch en operationeel niveau
3. Risicomanagement maakt onderdeel uit van (besluitvorming)processen
4. Risicomanagement sluit aan bij de doelstellingen van de provinciale organisatie
32

Om te komen van de begrippen, zoals gehanteerd in het literatuuronderzoek, naar
toetsbare begrippen in het empirisch onderzoek, worden hieronder de belangrijkste
begrippen geoperationaliseerd
Risicomanagement
Risicomanagement omvat de gecoördineerde activiteiten, gekoppeld aan een effectief
management van gebeurtenissen en de effecten daarvan op de doelstellingen van de
organisatie. Hiermee worden bedoeld de regels en procedures (activiteiten) waarmee het
dagelijkse functioneren van de organisatie gestuurd wordt.
Risico.
De onzekerheid dat een gebeurtenis zich voordoet waarbij zowel positieve als negatieve
effecten kunnen optreden, die van invloed zijn op het doelbereik.
Raamwerk
Het is het kader dat ervoor moet zorgen dat risicomanagementprocessen zijn ingebed in
de managementstructuur en besluitvormingsprocessen van de organisatie en dat ze
worden aangestuurd vanuit een duidelijke visie en beleid op de functie van
risicomanagement voor de organisatie.
Processen
Risicomanagement krijgt gestalte door uitvoering van het risicomanagementproces. In het
hart van het proces zitten de stappen van het identificeren, analyseren en evalueren van
risico’s verbonden aan een proces, project of organisatie. De processen vormen het hart
van een organisatie. Hiermee wordt bedoeld de aaneenschakeling van activiteiten in een
bedoelde volgorde en met een beoogd resultaat.
Voor een uitgebreide opzet en verantwoording van het methodologisch onderzoek wordt
verwezen naar hoofdstuk 4.
33

4 METHODOLOGIE
In dit hoofdstuk wordt de opzet en
verantwoording van het empirisch
onderzoek afgebakend. In
paragraaf 4.1 wordt stilgestaan bij
het vooronderzoek, de
geraadpleegde bestaande bronnen
en experts (4.2 en 4.3).
In paragraaf 4.4 worden de
begrippen uit het literatuuronderzoek
geoperationaliseerd, die
Hoofdstuk 1
Inleiding
Hoofdstuk 2
Opdracht en
onderzoek
Hoofdstuk 3
Literatuuronderzoek
Hoofdstuk 4
Methodologie
Hoofdstuk 5
Onderzoeksresultaten
Hoofdstuk 6
Conclusies
in de enquêtes en de interviews worden gehanteerd. Daarnaast worden respectievelijk de
dataverzameling, de dataverwerking en de methoden van dataverzameling toegelicht
(4.5/4.6/4,7).
4.1 Vooronderzoek
Om een goed inzicht te verkrijgen van het vakgebied risicomanagement, is als eerste stap
in het onderzoek verschillende soorten literatuur op dit gebied geraadpleegd. Om aan te
kunnen geven wat risicomanagement inhoudt, kan aangesloten worden bij de grote
hoeveelheid aan (vak)literatuur op dit gebied. Daarnaast is er literatuur afkomstig uit de
praktijk, bestaat uit rapporten en artikelen van organisaties die zich bezighouden met
risicomanagement zoals bijvoorbeeld PricewaterhouseCoopers, Deloitte, Ernst & Young,
het Nederlands Adviesbureau voor Risicomanagement (NAR), het Nederlands
Normalisatie-instituut (NEN), en trainingen/presentaties/handreikingen/syllabi op het
gebied van risicomanagement voor overheden. Ten aanzien van het openbaar bestuur zijn
onder meer recente publicaties op het gebied van decentralisatiediscussies en Government
Governance beoordeeld, alsmede publicaties van de Wetenschappelijke raad voor het
Regeringsbeleid.
Op basis van de bestudeerde theorieën en modellen, zijn in het vooronderzoek vervolgens
interviews afgenomen met deskundigen om de eerste bevindingen te toetsen. De keuze
voor deze deskundigen is gebaseerd op hun ervaring op het gebied van risicomanagement
binnen de publieke sector en binnen lokale overheden in het bijzonder.
Als deskundigen zijn in het vooronderzoek geïnterviewd:
• Dick Hortensius, senior standardization consultant managementsystemen van het
Nederlands Normalisatie-instituut NEN. Dick Hortensius verzorgt het secretariaat
van de normcommissie ISO 31000 en vertegenwoordigt Nederland in de
internationale werkgroep.
• William Segers, Hoofd Inspectie Financiën Lokale en provinciale Overheden en
voorzitter Kenniskring Weerstandsvermogen en Risicomanagement; Ministerie
Binnenlandse zaken en Koninkrijkszaken (BzK).
35

• Maurice Thijssen, directeur Binnenlands Bestuur PricewaterhouseCoopers. PwC heeft
ondersteunt bij het totstandkomen van het COSO-framework. Daarnaast is PwC de
huisaccountant van het merendeel van de Provincies (8).
• Robert ’t Hart. Directeur van het Nederlands adviesbureau voor Risicomanagement.
Daarnaast hebben genoemde personen op verschillende momenten conceptversies van het
onderzoeksrapport gereviewed.
Overigens dient vermeld dat gedurende het vooronderzoek de interesse voor de aanpak en
de uitkomsten van het onderzoek groot is gebleken. Dat heeft geleid tot verschillende
presentaties van de aanpak en aanleiding in onder meer de Kenniskring voor
Risicomanagement, onder coördinatie van het Ministerie van BzK. Daarnaast is ook tijdens
3 landelijk georganiseerde congressen/seminars een presentatie gehouden over
Risicomanagement in relatie tot de nieuwe ISO-norm. Eind 2008 is in een publicatie in het
tijdschrift Politiek Management stilgestaan bij het voorliggende onderzoek (zie bijlage 4).
Daarnaast is er door verschillende instanties interesse voor publicatie van de uitkomsten
getoond.
4.2 Te raadplegen bestaande bronnen
Reeds beschikbaar is secundaire data, informatie verzameld voor een ander doel, maar
bruikbaar als data voor het onderzoek dat voorligt. Het betreft data, verzameld op basis
van eerder verricht (literatuur)onderzoek dat ik heb gedaan bij de Provincie Limburg in het
kader van de MBA-opleiding, danwel op basis van interne projecten/opdrachten bij de
Provincie Limburg:
1. Beschrijving en analyse van de werking van een Provinciale organisatie (rolverdeling
Provinciale Staten, gedeputeerde Staten en ambtelijke organisatie).
2. Uitkomsten van de organisatiescan voor bestuurlijke planning en control. (Ontwikkeld
door o.a. het ministerie van BZK en de VNG, gestoeld op het INK-model).
36

Figuur 4. INK model
Interne
beheersing
Maatschappelijke
effecten
Producten
Input
Interne bedrijfsvoering met
externe effecten
Fase Fase 1 1 Input Input
Sturing Adequate op
activiteiten structuur en
besturing
Reactief
Fase Fase 2 2 Proces Proces
Ontwikkeling
Ontwikkeling
planning
planning
&
controlcyclus
controlcyclus
Externe dienstverlening met
interne effecten
Fase
Fase
5
5
Omgeving
Omgeving
Realiseren
Realiseren
omgevingsomgevingsgerichte
Fase
Fase
4
4
Klant gerichte
sturing
sturing
Klant
Sturen
Sturen
op
op
kwaliteit
kwaliteit
en
en
cultuur
Fase
Fase
3
3
Product cultuur
Product
Product-,
Product-,
outputoutputen
en
prestatiesturing
prestatiesturing
Proactief
Bron: Ministerie van Binnenlandse Zaken en Koninkrijksrelaties
Ontwikkelvermogen
Externe
oriëntatie
Het geeft een beschrijving op een aantal verschillende planning & controldimensies
waarbij een onderverdeling in een vijftal ontwikkelingsfasen is te maken. De fasen
variëren naar de mate van interne beheersing (van beheersing van activiteiten naar
sturing op maatschappelijke effecten) en de mate van externe oriëntatie (van
reactief naar pro-actief). Met behulp van dit model is onder meer de strategische
positie- en ambitiebepaling van de provinciale managementcontrol van de Provincie
Limburg vastgesteld.
3. Benchmarkgegevens paragraaf weerstandsvermogen. Op verzoek van de kring van
Provinciesecretarissen 16 , ben ik in juni 2008 gestart met een interprovinciale
vergelijking van alle Jaarstukken. Als onderdeel van deze vergelijking is de
paragraaf Weerstandsvermogen beoordeeld. De uitkomsten van dit onderzoek heb ik
in december 2008 gepresenteerd aan de kring van Provinciesecretarissen. De
uitkomsten zijn meegenomen in voorliggend onderzoek.
4. Interne documenten Provincie Limburg:
Organisatievisie 2015. (november 2008)
‘Sturen met managementinformatie’, de verbinding tussen coalitieakkoord en
outcome, december 2006.
Coalitieakkoord 2007-2011: “Investeren en Verbinden’, mei 2007.
Verslagen project ‘Procesmanagement’ (2006-2008). Deze verslagen geven
inzicht in de samenhang en voortgang van 12 prioritaire projecten, die de
strategische alertheid moeten vergroten en die de organisatie gereed maken voor
de uitvoering van het coalitieakkoord 2007-2011.
5. Benchmarkgegevens
Aanpak risicomanagement andere Provincies/gemeenten
16 Kring van Provinciesecretarissen, december 2007
37

Weerstandsvermogen en risicomanagement gemeente Venlo; Onderzoek en
aanbevelingen, 2006.
Kenniskring Risicomanagement en Weerstandsvermogen (ministerie van BZK) ,
verslagen 2007-2009
Congres Risicomanagement; 21 april 2008, Ministerie van BZK, Rotterdam
Seminar Risicomanagement; 12 september 2008, Provincie Limburg, Maastricht.
Jaarcongres Primo,
Intervisiebijeenkomst Risicomanagement Provincies, 2 juli 2009
6. Onderzoeksrapporten derden
Rapport van onderzoek naar Provinciale bestuurskracht.
Interimcontrole 2008, PricewaterhouseCoopers (PwC) 17
Rapport van bevindingen 2007/2008 (PwC)
Rapport van de Zuidelijke Rekenkamer (onderzoek naar de jaarstukken 2007) 18
Voor een volledig overzicht van de geraadpleegde bronnen wordt verwezen naar de
literatuurlijst.
4.3 Te raadplegen expert
Voor dit onderzoek dient Robert ’t Hart (directeur van het Nederlands adviesbureau voor
risicomanagement) als sparringpartner/sponsor. Hij beschikt over een uitgebreide kennis
en ervaring op het gebied van het toepassen van risicomanagement bij zowel profit als
not-for-profit organisaties en heeft rond dit vakgebied een groot netwerk opgebouwd.
Robert is als externe adviseur nauw betrokken geweest bij de implementatie van
risicomanagement bij de Provincie Limburg. Hij maakt tevens onderdeel uit van de
Nederlandse normcommissie, die de ontwerpteksten voor de risicomanagementrichtlijn
ISO 31000 beoordeelt.
4.4 Operationalisatie van begrippen
Voor de beoordeling van de kritische succesfactoren voor de toepassing van ISO 31000 bij
Provincies, is gebruik gemaakt van enquêtes en het houden van interviews. In de enquête
zijn vragen opgenomen over de wijze waarop Provincies invulling geven aan de drie
onderdelen van de ISO 31000-norm;
1. Principes voor risicomanagement
2. Raamwerk voor risicomanagement
3. Risicomanagement-proces.
Om te komen van de begrippen, zoals gehanteerd in het literatuuronderzoek, naar
toetsbare begrippen in het empirisch onderzoek, zijn in paragraaf 3.8 de belangrijkste
17
De accountant van de Provincie Limburg (PWC) voert ieder jaar een interimcontrole uit, ter voorbereiding op de controle van de
jaarrekening. De aanbevelingen worden benoemd in een managementletter, die wordt voorgelegd aan de Directie.
18 De Zuidelijke Rekenkamer is in 2004 opgericht door de Provincies Noord-Brabant en Limburg en draagt bij aan de
transparantie van het intern functioneren van de provinciale organisatie en het extern presteren van de provinciale overheid.
In 2006 heeft de Rekenkamer een onderzoek uitgevoerd naar de rolverdeling tussen Provinciale Staten en Gedeputeerde
Staten inzake de sturing en beheersing van apparaatskosten.
38

egrippen reeds geoperationaliseerd. Hieronder worden de belangrijkste begrippen nader
bepaald.
Risicomanagement
Op basis van de literatuurstudie van risicomanagement en de theorie van openbaar
bestuur, komt samengevat naar voren welke criteria voor risicomanagement bij Provincies
worden gehanteerd. Hierin zijn enkele dimensies (onderstreept) opgenomen.
Als Provincies risicomanagement willen toepassen, dan dienen :
Ze naast een koppeling aan doelstellingen, ook zorg te dragen voor een proces,
waarbij risicobewustzijn wordt gedeeld (cultuur). Het succesvol toepassen van
risicomanagement bij Provincies vereist dat, naast een geschikt raamwerk, er
duidelijkheid is over de uitgangspunten van het gebruik van risicomanagement.
Daarnaast moet ook helder zijn op welke niveau’s de verantwoordelijkheid voor
risicomanagement binnen de provinciale organisatie is belegd.
Op grond van bovengenoemde nadere bepaling, zijn deze dimensies vertaald naar
onderwerpen en is aangegeven wat er, wat betreft deze dimensies geacht wordt aanwezig
te zijn (begrip zoals bepaald voor dit onderzoek):
Doelstellingen
Doelstellingen, zoals opgenomen in de programmabegroting van de Provincie, als
doorvertaling van het coalitieakkoord, zoals dat voor 4 jaar is opgesteld en vastgesteld
door Provinciale Staten.
Proces
De uitvoering van het risicomanagementproces omvat de stappen van het identificeren,
analyseren en evalueren van risico’s verbonden aan een proces of project. De processen
vormen het hart van een organisatie. Hiermee wordt bedoeld de aaneenschakeling van
activiteiten in een bedoelde volgorde en met een beoogd resultaat. De Provincies dienen
dan ook te beschikken over een systematiek van risicoidentificatie, risicobeoordeling en
monitoring.
Risicomanagement
Risicomanagement omvat de gecoördineerde activiteiten, gekoppeld aan een effectief
management van gebeurtenissen en de effecten daarvan op de doelstellingen van de
organisatie. Hiermee worden bedoeld de regels en procedures (activiteiten) waarmee het
dagelijkse functioneren van de organisatie gestuurd wordt.
39

Raamwerk
Het is het kader dat ervoor moet zorgen dat risicomanagementprocessen zijn ingebed in
de managementstructuur en besluitvormingsprocessen van de organisatie en dat ze
worden aangestuurd vanuit een duidelijke visie en beleid op de functie van
risicomanagement voor de organisatie.
Uitgangspunten
Op basis van de kritische succesfactoren voor risicomanagement (paragraaf 3.8) en de
specifieke politiek-bestuurlijke context van Provincies (3.6), kunnen de volgende criteria
voor een succesvol risicomanagement bij Provincies worden benoemd:
1) Verantwoordelijkheden dienen te zijn belegd op strategisch, tactisch en operationeel
niveau. Positionering van risicomanagement is randvoorwaardelijk voor het creëren
van draagvlak. Op strategisch niveau bij zowel Bestuur, directie als overig
management. Op tactisch niveau bij projectleiding en operationeel bij medewerkers,
procesbewaking.
2) Risicobewustzijn van verschillende risicogebieden wordt actief gedeeld op strategisch,
tactisch en operationeel niveau. Het stimuleert het organisatiebrede risicobewustzijn
binnen de Provincie.
3) Risicomanagement maakt onderdeel uit van (besluitvormings) processen. Doorvertaald
in een sturingsmechanisme is het van belang dat risicomanagement als een adequaat
sturingsmechanisme dient dat betrekking heeft op het niveau houden en verbeteren
van de processen en de organisatie.
4) Risicomanagement sluit aan bij de doelstellingen van de provinciale organisatie. Op
bestuurlijk als operationeel niveau zijn de belangrijkste risico’s voor de overheid
risico’s die de doelen bedreigen en de urgente risico’s die voor de meerjarige agenda
belangrijk zijn.
Verantwoordelijkheid
Voor een succesvol risicomanagement is het van belang dat rollen, taken en
verantwoordelijkheden met betrekking tot risicomanagement duidelijk zijn benoemd. Met
het juist vastleggen van taken, verantwoordelijkheden en bevoegdheden ten aanzien van
risicomanagement, kan het mandaat en de positionering worden geregeld.
Hieronder is de uiteindelijke operationalisering opgenomen in de vorm van vragen die in
de interviews gesteld zijn. De vragenlijsten zijn uitgezet op 17 april 2009. De
geënquêteerden zijn zorgvuldig geselecteerd op hun directe betrokkenheid met het
vakgebied risicomanagement bij de betreffende Provincie. De personen zijn vooraf
40

telefonisch benaderd met het verzoek tot deelname aan het onderzoek. Alle Provincies
hebben de vragenlijst ingevuld, de laatste is ontvangen op 26 mei 2009.
Uitgangspunt 1. Positionering. Vraag 1,2,3,4,5,6,12,13,15,16,17,18,19,20,21,31
Uitgangspunt 2. Actief delen risicomanagement. 8, 9,10,11,14,22,24,33,34,35
Uitgangspunt 3. Proces. 23,25,27,28,29,30,32,35,36
Uitgangspunt 4. Doelstellingen. 26
Daarna zijn in een intervisiebijeenkomst met vier betrokken functionarissen nog eens de
eerste resultaten besproken (2 juli 2009). Vervolgens is er bij twee Provincies een
interview gehouden, waarin met name de focus is gelegd op de eerste twee
uitgangspunten.
4.5 Dataverzameling
Populatie vragenlijst
Voor het verzamelen van data zijn alle Provincies benaderd. De geënquêteerden zijn
zorgvuldig geselecteerd op hun directe betrokkenheid met het vakgebied
risicomanagement bij de betreffende Provincie. Het betreft dus een afgebakende
populatie. De personen zijn vooraf telefonisch benaderd met het verzoek tot deelname aan
het onderzoek. Alle provincies hebben deelgenomen aan het onderzoek.
Populatie diepte-interviews
Op basis van de resultaten van de ingevulde vragenlijsten is nog bij twee Provincies een
diepte-interview gehouden. De keuze voor de Provincies is gebaseerd op de ervaringen ten
aanzien positionering van risicomanagement en het actief delen van risicomanagement.
De interviews dienden dan ook als toets van de algemene bevindingen en zijn afgenomen
bij functionarissen, waarbij risicomanagement als verantwoordelijkheid is ondergebracht.
Het betreft niet dezelfde personen, die de vragenlijst van de betreffende provincie hebben
ingevuld.
4.6 Dataverwerking
Bij de in de vragenlijsten gebruikte variabelen is er geen sprake van een bepaalde
meeteenheid. Het zijn met andere woorden variabelen op nominaal meetniveau, er
kunnen immers geen berekeningen op worden uitgevoerd.
Met behulp van rechte tellingen is inzichtelijk gemaakt hoeveel antwoorden de
verschillende Provincies in elke antwoordcategorie hebben gegeven.
41

4.7 Kwaliteit van dataverzamelingmethoden
In dit onderzoek is gestreefd naar betrouwbaarheid, validiteit en bruikbaarheid van de
onderzoeksgegevens.
Betrouwbaarheid
De betrouwbaarheid van empirisch onderzoek betreft de consistentie en de
repliceerbaarheid van de methoden, de omstandigheden en de resultaten van dat
onderzoek. De maatregel die is genomen om de betrouwbaarheid van de gegevens te
bevorderen is de toepassing van verschillende onderzoeksmethoden. In dit onderzoek is
gebruik gemaakt van bestaande (benchmark)onderzoeken, documenten van de 12
Provincies, interviewtechnieken en vragenlijsten.
Validiteit
Naast betrouwbaarheid is ook de validiteit van het onderzoek van wezenlijk belang. Met
validiteit wordt bedoeld of we wel meten wat we in feite wensen te meten. Bij het
voorliggende onderzoek is de validiteit geborgd door het zorgvuldig bepalen van de
populatie van de respondenten van de vragenlijsten (zie ook paragraaf 4.5). Daarnaast is
met name de operationalisatie van begrippen (paragraaf 4.4) zoals gehanteerd in het
literatuuronderzoek, naar toetsbare begrippen in het empirisch onderzoek van belang voor
een valide onderzoek.
Bruikbaarheid.
Bij het voorliggende praktijkgerichte onderzoek is gestreefd naar bruikbaarheid van de
gegevens. Met de toegepaste kennis en de resultaten van het onderzoek wordt immers
beoogd om een bijdrage te leveren aan de passende toepassing voor risicomanagement bij
Provincies.
42

5 RESULTATEN
In dit hoofdstuk worden de
uitkomsten gepresenteerd van het
onderzoek, uitgevoerd door
middel van vragenlijsten bij
Provincies en gehouden
interviews.
5.1 Inleiding
Hoofdstuk 1
Inleiding
Hoofdstuk 2
Opdracht en
onderzoek
Hoofdstuk 3
Literatuuronderzoek
Hoofdstuk 4
Methodologie
Hoofdstuk 5
Onderzoeksresultaten
Hoofdstuk 6
Conclusies
Omdat alleen een overzicht van de bevindingen uit het literatuuronderzoek (hoofdstuk 3)
nog geen garantie biedt voor de bruikbaarheid ervan, is op verschillende wijzen aan de
hand van de praktijk, beoordeeld in hoeverre de uit de literatuur blijkende kritische
succesfactoren ook daadwerkelijk toepasbaar kunnen zijn voor risicomanagement bij de
Provinciale overheid.
Voor het beoordelen van de kritische succesfactoren voor de toepassing van ISO-31000 bij
Provincies, is gebruik gemaakt van enquêtes en interviews. Om inzicht te krijgen in de
wijze waarop de beoordelingscriteria bruikbaar zijn, is aan contactpersonen bij de 12
Provincies digitaal een vragenlijst afgenomen en is bij 2 provincies een diepte interview
gehouden (zie ook paragraaf 4.5 dataverzameling).
Bij de operationalisering van de vragen is rekening gehouden met de specifieke criteria
voor een succesvol risicomanagement bij Provincies:
1. Verantwoordelijkheden zijn belegd op strategisch, tactisch en operationeel niveau
2. Er is sprake van een organisatiebreed risicobewustzijn, op zowel strategisch,
tactisch en operationeel niveau
3. Risicomanagement maakt onderdeel uit van (besluitvorming)processen
4. Risicomanagement sluit aan bij de doelstellingen van de provinciale organisatie
In de enquête zijn vragen opgenomen over de wijze waarop Provincies invulling geven aan
de drie onderdelen van de ISO 31000-norm;
1. Uitgangspunten voor risicomanagement;
2. Raamwerk voor risicomanagement;
3. Risicomanagement-proces.
De uitkomsten worden per onderdeel uitgewerkt.
43

5.2 Uitgangspunten risicomanagement
Bij de beoordeling van de uitgangspunten van risicomanagement is stilgestaan bij het
gevoerde risicomanagementbeleid, de invloed van recente ontwikkelingen, de gehanteerde
definities en de gehanteerde risicomanagement-standaard.
Risicomanagementbeleid
Om een uniforme werkwijze in de organisatie te bevorderen is het van belang dat de
Provincie een beleid vaststelt ten aanzien van risicomanagement. In dit onderzoek is
gevraagd in hoeverre Provincies een formeel risicomanagementbeleid hebben vastgesteld.
De belangrijkste resultaten:
Bij 3 Provincies is (nog) geen risicomanagementbeleid vastgesteld.
Bij 9 Provincies zijn de uitgangspunten van risicomanagement formeel vastgelegd
in risicomanagementbeleid en vervolgens vastgesteld door Provinciale Staten; het
beleidsbepalende en bestuurlijke orgaan van de Provincie.
Bij 6 Provincies is het risicomanagementbeleid recent vastgesteld (in 2007 of later).
Daar waar risicomanagementbeleid in 2006 of eerder is vastgesteld, is door de
respondenten aangegeven dat er op korte termijn bijstelling van dit beleid plaats
vindt (bij 4 Provincies binnen een half jaar).
Gevraagd is aan de Provincies welke aspecten aanleiding zijn geweest om
risicomanagementbeleid op te stellen. De uitkomsten zijn in onderstaande tabel
gepresenteerd.
Tabel 2 Aanleiding opstellen van risicomanagementbeleid
Aanleiding voor opstellen van risicomanagementbeleid (N=9) Aantal Provincies
Externe factoren
Public Governance 5
Decentralisatie-afromingdiscussies 0
Economische crisis 1
Verscherpte wet- en regelgeving 2
Verzoek Provinciale staten 1
Onderzoek rekenkamer 1
Bevinding accountant 5
Interne factoren
Interne veranderingen/reorganisatie 2
Een incident 1
Verbeteren versnipperde aanpak 6
Verzoek college GS 0
De aanleiding voor het opstellen van risicomanagementbeleid bij Provincies wordt
ingegeven in het geval van externe factoren door bevindingen van de accountant en in
mindere mate door recente decentralisatie- cq afromingsdiscussies tussen Rijk en
Provincies. Daarnaast is het verbeteren van de inzicht in de bestaande versnipperde
44

isicoaanpak de belangrijkste interne aanleiding voor het opstellen van
risicomanagementbeleid. De behoefte van deze Provincies om de versnipperde aanpak te
structureren is een belangrijke stap tot een meer integrale benadering van
risicomanagement bij Provincies.
De respondenten is gevraagd welke onderdelen uitmaken van het
risicomanagementbeleid.
Tabel 3 Onderdelen van risicomanagementbeleid
Onderdelen van risicomanagementbeleid (N=9) Aantal Provincies
Doelstelling 8
Aanleiding 4
Scope 5
Aanpak 6
Tijdspad implementatie 0
Relatie organisatiestrategie 1
Randvoorwaarden 3
Rollen/verantwoordelijkheden 6
Gehanteerde risicotolerantie 5
Omdat richtlijnen ontbreken, wordt het risicomanagementbeleid door Provincies
verschillend ingevuld. Opvallend is dat, van de 9 Provincies met een vastgesteld
risicomanagementbeleid, 3 Provincies geen rollen en verantwoordelijkheden hebben
beschreven in het beleid. Terwijl juist met het vastleggen van taken,
verantwoordelijkheden en bevoegdheden, het mandaat en de positionering kan worden
geregeld.
Bij het opstellen van risicomanagementbeleid hebben nagenoeg alle Provincies gebruik
gemaakt van externe advisering. 7 Provincies zijn ondersteund door een gespecialiseerd
adviesbureau, 3 Provincies door een accountant. Een derde van de Provincies heeft het
benchmarkinstrument gebruikt en zich over risicomanagementbeleid laten adviseren door
andere Provincies/gemeenten.
Invloed recente ontwikkelingen
De Provincies is gevraagd om aan te geven of recente ontwikkelingen van invloed zijn op
het risicomanagement. Het betreft :
(1) Externe ontwikkelingen ten aanzien van een mogelijke afroming van de inkomsten van
de Provincie, boven het bedrag dat zij binnen bestaande afspraken nodig hebben voor
de uitoefening van hun taken. Dit in combinatie met de decentralisatiediscussies [Mans
(2008), Oosting (2007), Lodders (2008), De Hondt (2008)].
45

(2) De impact van de economische crisis op de uitvoering van het in gang gezette beleid
van de Provincie. De kredietcrisis staat immers aan de basis van een conjuncturele
terugval die ook de provinciale economie kan raken. Daarnaast heeft de crisis tot
gevolg dat risico’s wellicht ook meer dan ooit ook genomen moeten worden.
In onderstaande figuur is de impact weergegeven van recente externe ontwikkelingen op
risicomanagement.
Figuur 5 Impact recente ontwikkelingen op risicomanagement bij de Provincie
1
0
aanpassen beleid opnieuw
inventariseren
2
4
4
categorie impact
5
doorbereken
consequenties
5
4
geen impact
afromingsvoorstellen/
decentralisatiediscussie
economische crisis
De uitkomsten laten een wisselend beeld zien van de impact van zowel de economische
crisis als afromingsvoorstellen op risicomanagement. Bij vier Provincies (economische
crisis) respectievelijk 5 Provincies (decentralisatiediscussies) heeft de veranderende
externe context geen invloed op risicomanagement. Opmerkelijk is het te noemen dat de
–risicovolle- ontwikkelingen die op (middel)lange termijn de organisatie raken, bij een
groot aantal Provincies geen invloed hebben op het gevoerde risicomanagement.
Gehanteerde definities
Aan de Provincies is gevraagd welke definitie voor risico wordt gehanteerd. Hieruit blijkt
dat 3 Provincies geen specifieke definitie hanteren voor het begrip ‘risico’. De resterende 9
Provincies hanteren voor het begrip ´risico´ de volgende definities:
Kans op het optreden van een gebeurtenis met een negatief gevolg voor
betrokkene.
Alle potentiële gebeurtenissen of omstandigheden die doelrealisatie kunnen
belemmeren. Kans op het optreden van een gebeurtenis met een negatief gevolg
voor betrokkene en betrekking op doelrealisatie.
46

Alle potentiële gebeurtenissen die doelrealisatie kunnen bevorderen of
belemmeren.
Onzekere gebeurtenis met negatieve invloed op bereiken van doelstellingen.
Zes Provincies hanteren een traditionele definitie voor het begrip risico. 7 Provincies
koppelen het begrip expliciet aan doelstellingen. De definitie, waarbij het begrip risico
wordt neergezet als een neutraal begrip (kansen en bedreigingen) met een positief of
negatief effect op de doelstellingen van de organisatie, wordt slechts door 2 Provincies
gehanteerd.
Ook over het begrip´risicomanagement´ circuleren talrijke definities. Aan de Provincies
is gevraagd welke definitie voor risicomanagement wordt gehanteerd. 3 Provincies gaven
aan geen definitie te gebruiken voor het begrip ‘risicomanagement’. De resterende
Provincies hanteren uiteenlopende definities:
Proces met als doel om potentiële gebeurtenissen die de organisatie kunnen
beïnvloeden, te identificeren en hierop binnen gestelde uitgangspunten, te
reageren en daarmee een redelijke zekerheid te kunnen verkrijgen dat de
organisatie haar doelstellingen kan realiseren.
Activiteiten uitvoeren ter voorkoming of beperking van gevolgen op een onzekere
gebeurtenis.
Continue en systematisch doorlopen van de organisatie op risico´s met als doel om
de gevolgen ervan te voorkomen of te vermijden en de kans erop te verkleinen of
op een andere manier beheersbaar te maken.
Het gestructureerd managen van het risico dat een organisatie om financiële dan
wel niet-financiële redenen de beleidsdoelen niet of niet volledig realiseert.
Regelmatig en systematisch onderzoek naar risico´s die materiële en immateriële
belangen, activiteiten en mensen bedragen en de implementatie en formulering
van een geïntegreerd beleid met betrekking tot risico-overdracht, risicofinanciering
en risicoreductie.
Structureel beheersen van risico´s, gericht op het nemen van beslissingen op het
voorkomen of minimaliseren van nadelige effecten bij het optreden van risico´s.
Het geheel van activiteiten en maatregelen gericht op het omgaan met en het
beheersen van risico´s.
Nemen van passende maatregelen ter voorkoming of beheersing van risico´s.
Drie Provincies hanteren een definitie, gebaseerd op de te doorlopen basisstappen
(identificeren en beheersen van risico´s) van het risicomanagementproces.
47

Overigens is het opvallend dat slechts 1 van de 5 Provincies, die aan hebben gegeven het
risicomanagement binnen de organisatie te hebben ingericht volgens het COSO-
raamwerk, ook daadwerkelijk de definitie voor risicomanagement hanteert, zoals door
COSO [2004] wordt gehanteerd: “Risicomanagement is een proces dat bewerkstelligd
wordt door het bestuur van de onderneming, het management en ander personeel en
wordt toegepast bij het formuleren van de strategie en binnen de gehele onderneming,
ontworpen om potentiële gebeurtenissen die invloed kunnen hebben op de onderneming
te identificeren en om risico´s te beheren zodat deze binnen de risico-acceptatiegraad
vallen, om een redelijke zekerheid te bieden ten aanzien van het behalen van de
ondernemingsdoelstellingen”.
Gehanteerde risicomanagementstandaard
Het hanteren van een specifiek risicomanagementmodel kan als instrument helpen om de
uitgangspunten van risicomanagement en de beheersing ervan te borgen in de
organisatie. Daarbij dient te worden vermeld dat bij PricewaterhouseCoopers (PwC) bij 8
Provincies als huisaccountant is benoemd. PwC is een mede-opsteller van het COSO-
raamwerk.
5 Provincies geven aan dat, bij het inrichten van risicomanagement, gebruik is
gemaakt van het COSO-raamwerk. Opmerkelijk daarbij is dat er vervolgens bij de
implementatie van risicomanagement slechts zelden gebruik wordt gemaakt van de
stappen, zoals in COSO beschreven.
4 Provincies geven aan, geen risicomanagementstandaard te hanteren bij de inrichting
van risicomanagement.
1 Provincie gebruikt een combinatie van COSO en een eigen standaard, geïntegreerd
in de planning- en controlcyclus.
1 Provincie heeft de inrichting van risicomanagement gestoeld op de regelgeving
vanuit het Besluit Begroting en Verantwoording (BBV) in combinatie met een
specifieke risicobenadering voor projecten (RISMAN).
1 Provincie weet niet of er gebruik gemaakt wordt van een specifieke
risicomanagementstandaard.
Belangrijkste bevindingen:
1. Ondanks de risicoagenda van de Provincies is het opvallend dat een kwart van de
Provincies nog steeds geen formeel risicomanagementbeleid heeft opgesteld.
Hierdoor ontbreekt het aan uniforme kaders en aanpak om risicomanagement
organisatiebreed te borgen binnen de organisatie.
2. De scope, aanpak en rollen/verantwoordelijkheden maakt bij 1/3 van de Provincies
geen onderdeel uit van het vastgestelde risicomanagementbeleid, Terwijl juist met
48

het vastleggen van taken, verantwoordelijkheden en bevoegdheden, het mandaat
en de positionering kan worden geregeld.
3. Eenderde van de Provincies geeft aan dat belangrijke recente externe –risicovolle-
ontwikkelingen (o.a. afromings- en decentralisatiediscussies en de economische
crisis) geen invloed hebben op risicomanagement;
4. Bij 6 van de 9 provincies met een vastgesteld risicomanagementbeleid, is de
directe aanleiding –onder meer- gelegen in de behoefte aan structurering van de
versnipperde aanpak van risicomanagement;
5. Van de Provincies die het COSO-raamwerk benoemen in hun
risicomanagementbeleid, wordt slechts in beperkte mate het genoemde raamwerk
gehanteerd als leidraad voor implementatie van risicomanagement.
5.3 Raamwerk risicomanagement
Het managen van risico’s kan plaats vinden, indien de context en scope van
risicomanagement goed zijn bepaald. De context kan worden ontleend aan het
risicomanagementraamwerk. Het raamwerk dient daarbij als een kader om ervoor te
zorgen dat risicomanagementprocessen ingebed worden en aansluiten bij de algemene
besluitvormingsprocessen van de organisatie. Het raamwerk geeft dan ook de basis voor
de borging van risicomanagement binnen een organisatie.
Bij de beoordeling van het raamwerk van risicomanagement bij provincies is onder meer
stilgestaan bij de typering van risicomanagement, de positionering en de belangrijkste
risico’s.
Typering risicomanagement
Aan de respondenten is gevraagd hoe het risicomanagement bij de Provincie het beste
is te omschrijven. In figuur 6 zijn de resultaten weergegeven van de
antwoordcategorieën.
49

Figuur 6 Omschrijving van risicomanagement
1
1
3
Omschrijving van risicomanagement N = 12
7
gemanaged door specialisten
gecoordineerd door specialisten
volledig geintegreerd in de lijnorganisatie
beperkte interactie tussen de verschillende
onderdelen van risicomanagement
Een grote meerderheid (7 Provincies) geeft aan, dat er een beperkte interactie is
tussen de afzonderlijke gebieden van risicomanagement. Het geeft het beeld dat
risico’s gefragmenteerd worden geïdentificeerd en onafhankelijk van elkaar beoordeeld
vanuit separate, gespecialiseerde functies en afdelingen. 1 Provincie geeft aan dat
risicomanagement volledig geïntegreerd is in de lijnorganisatie, waarbij een speciaal
integraal risicomanagementoverleg is ingesteld, met een periodieke afstemming over
risicomanagement op zowel strategisch, tactisch als operationeel niveau.
Positionering
Voor een succesvol risicomanagement is het van belang dat rollen, taken en
verantwoordelijkheden met betrekking tot risicomanagement duidelijk zijn benoemd.
De positionering van risicomanagement is verschillend belegd bij Provincies. De
verantwoordelijkheid voor concernbrede risico-identificatie en risico–analyse is als
volgt belegd:
hoofd middelen (1).
ondersteunende afdeling (jurist/auditor/financiën) (4)
risicomanagementfunctionaris (2 Provincies)
concerncontroller in combinatie met directeur en gedeputeerde (1)
concerncontroller in combinatie met directeur (1)
concerncontroller in combinatie met hoofd middelen (2)
risicomanager in combinatie met concerncontroller (1)
Door bewust te kiezen voor een expliciete positionering van risicomanagement bij een
onafhankelijke functionaris, wordt de kans vergroot op objectiviteit ten opzichte van de
medewerkers die verantwoordelijk zijn voor het nemen van risico’s.
50

Vijf Provincies hebben taken en verantwoordelijkheden met betrekking tot
risicomanagement (nog) niet in functiebeschrijvingen of risicomanagementbeleid
vastgelegd.
Voor het creëren van risicobewustzijn binnen een organisatie is het van belang om
medewerkers te trainen op het gebied van risicomanagement. Aan de Provincies is de
vraag gesteld of en op welke wijze medewerkers worden getraind in
risicomanagement. Geconstateerd kan worden dat er nog onvoldoende aandacht is
voor scholing van medewerkers ten aanzien van aspecten van risicomanagement. Bij 7
Provincies worden medewerkers niet getraind in risicomanagement, daarvan 2 hebben
Provincies aangegeven dat hiermee in 2009 zal worden gestart. Slechts 2 Provincies
trainen medewerkers op een combinatie van verschillende onderdelen
(managementontwikkel-programma en projectmatig werken).
Belangrijkste risico’s
Gezien de (financiële) focus vanuit de weerstandsparagraaf is het weinig verrassend
dat alle Provincies primair focussen op de financiële risico’s. De resultaten geven
echter ook aan dat er in veel gevallen nog geen focus is op meerdere, afzonderlijke
risicogebieden, waarmee een organisatiebreed risicobeeld kan worden verkregen.
Geen van de Provincies werkt met een in-control statement.
Belangrijkste bevindingen
1. Scope, aanpak en rollen/verantwoordelijkheden maakt bij eenderde van de
Provincies geen onderdeel uit van het vastgestelde risicomanagementbeleid;
2. Tweederde van de Provincies omschrijft risicomanagement als een beperkte
interactie tussen de afzonderlijke risicogebieden;
3. Risicomanagement wordt nog sterk traditioneel ingestoken vanuit een verplichte
externe verantwoordingsbehoefte in de paragraaf Weerstandsvermogen. Een aantal
Provincies maakt een beweging naar een organisatiebrede aanpak van
risicomanagement;
4. Er is slechts in beperkte mate aandacht voor scholing van medewerkers ten
aanzien van aspecten van risicomanagement
5. Bij tweederde van de Provincies is de primaire verantwoordelijkheid voor
risicomanagement strategisch belegd op het niveau van
directeur/concerncontroller.
51

5.4 Risicomanagement proces
Het raamwerk dient als een kader om ervoor te zorgen dat risicomanagementprocessen
ingebed worden en aansluiten bij de algemene besluitvormingsprocessen van de
organisatie.
De Provincies hebben vanuit het Besluit Begroting en Verantwoording (BBV) weliswaar de
verplichting om beleid te voeren op het gebied van risicomanagement, de risicoagenda
van Provincies vraagt echter een bredere benadering met integratie van risicomanagement
in de dagelijkse besluitvormingsprocessen.
Bij de beoordeling van het proces van risicomanagement bij Provincies is onder meer
stilgestaan bij de risico-identificatie en – beoordeling, de rapportage over risico’s en de
toetsing van beheersmaatregelen.
Risicoidentificatie en -beoordeling
Om de risico’s inzichtelijk te maken, is het een belangrijke stap om de risico’s te
identificeren en te beoordelen. Aan de respondenten is gevraagd wanneer gestart is
met risico-inventarisatie en risicoanalyses. In figuur 7 is weergegeven wanneer bij de
Provincie hiermee is gestart.
Figuur 7 Start risico-inventarisaties
2
Wanneer gestart met risico-inventarisaties (N=12)
4
4
0
2
minder dan 1 jaar
tussen 1 en 3 jaar
tussen 3 en 5 jaar
langer dan 5 jaar
nog niet, wel van plan
Twee Provincies voeren (medio 2009) nog geen risico-inventarisaties uit, maar zijn dat
wel van plan.
52

In het onderzoek is aan de respondenten gevraagd op welke wijze en met welke
frequentie, risico’s worden geïdentificeerd en beoordeeld in de organisatie. De helft van
de Provincies geeft aan, dat de inventarisatie wordt uitgevoerd bij het opstellen van de
programmabegroting en de jaarrekening, als onderdeel van de paragraaf
weerstandsvermogen. Bij 3 Provincies worden de risico’s slechts 1 keer per jaar
geïdentificeerd.
Alle Provincies gebruiken de uitkomsten van de risico-inventarisatie voor de paragraaf
weerstandsvermogen.
Bij het opzetten van de identificatie van risico’s hebben 7 Provincies gebruik gemaakt
van externe advisering. 4 Provincies zijn ondersteund door een gespecialiseerd
adviesbureau, 3 Provincies door een accountant. Slechts 1 Provincie heeft het
benchmarkinstrument gebruikt en heeft zich laten adviseren door ervaringen bij
andere Provincies/Gemeenten.
Rapportage
Behalve over de in de weerstandsparagraaf opgenomen risico’s, wordt er ook op
andere momenten gerapporteerd over risico’s binnen de organisatie. In GS nota’s (8
Provincies), projectplannen (7), voortgangsrapportages richting Provinciale Staten (5),
voortgangsrapportages aan Gedeputeerde Staten (3) en in een notitie aan het
Directieteam (1).
Aan de respondenten is gevraagd om te benoemen hoeveel risico’s periodiek worden
gerapporteerd aan het directieteam.
Tabel 4 Aantal risico’s gerapporteerd aan directieteam
Aantal risico’s Aantal Provincies
Minder dan 5 0
Tussen 5 en 10 1
Tussen 10 en 20 2
Tussen 20 en 30 2
Meer dan 30 2
Er vindt geen rapportage plaats 5
Opvallend is het grote aantal Provincies, waarbij niet separaat aan het directieteam
wordt gerapporteerd. Bij 1 Provincie maakt risicorapportage deel uit van de planning-
en controlinstrumenten. Bij 2 Provincies wordt er tussen de verschillende
organisatieonderdelen gerapporteerd over elkaars risico’s.
53

Toetsing van beheersmaatregelen
Een belangrijke stap in het risicomanagementproces is toetsing van de werking van de
beheersmaatregelen. 6 Provincies geven aan dat de bij de risico’s behorende
beheersmaatregelen –nog- niet in kaart worden gebracht.
8 Provincies geven aan dat de beheersing van de risico’s wordt getoetst via de interne
controlewerkzaamheden. Het betreft hier over het algemeen controls, als onderdeel
van de Jaarrekeningcontrole.
De helft van de Provincies heeft de risico’s en beheersmaatregelen niet vastgelegd in
processen; 1 Provincie is bezig met het beschrijven ervan.
Belangrijkste bevindingen:
1. Bij twee Provincies wordt er gerapporteerd over de risico’s van de afzonderlijke
risicocategorieën
2. De risico-inventarisatie en –beoordeling is nog veelal gekoppeld aan de planning-
en controlcyclus van de weerstandsparagraaf (Begroting en Jaarrekening)
3. De helft van de Provincies is in 2006 of eerder gestart met risico-identificatie en
risicobeoordeling; 2 Provincies moeten daar nog mee starten.
4. Bij de helft van de Provincies worden de beheersmaatregelen –nog- niet in beeld
gebracht.
54

6 CONCLUSIES
In dit hoofdstuk worden alle
resultaten uit het onderzoek
gecombineerd tot conclusies.
Inleiding
Hoofdstuk 1
Inleiding
Hoofdstuk 2
Opdracht en
onderzoek
Hoofdstuk 3
Literatuuronderzoek
Hoofdstuk 4
Methodologie
Hoofdstuk 5
Onderzoeksresultaten
Hoofdstuk 6
Conclusies
In dit hoofdstuk worden de conclusies beschreven, op basis van de beoordeling van
kritische succesfactoren voor een raamwerk, geschikt voor toepassing van
risicomanagement bij de Provincies. Om uiteindelijk antwoord te kunnen geven op de
vraag: “Is ISO-31000 geschikt als instrument voor risicomanagement bij de Provinciale
overheid?”.
Concluderend
Concluderend kan worden gesteld dat ISO-31000, met een expliciete koppeling van de
uitgangspunten, raamwerk en proces van risicomanagement, in beginsel een geschikt
instrument is voor een Provinciale toepassing van risicomanagement. Het sluit aan bij de
complexe besluitvormingsprocessen van de Provinciale overheid en de sterk veranderende
externe context waarin de Provincies zich bevinden. De generieke opzet van het systeem
doet recht aan de verschillende fasen waarin Provincies op het gebied van
risicomanagement staan.
Mits voldaan aan de beoordelingscriteria voor risicomanagement bij Provincies, biedt ISO-
31000 de mogelijkheid om risicomanagement organisatiebreed te borgen. Het is een
managementsysteem dat beschrijft wat een organisatie moet doen om de (risicoaspecten
van haar) processen en activiteiten te managen zodat de resultaten en uitkomsten
aansluiten bij de vastgestelde doelstellingen. Het is met name de koppeling van
risicomanagement aan bedrijfsprocessen bij Provincies, dat echter nog in ontwikkeling is.
Risicomanagement maakt slechts in enkele gevallen structureel onderdeel uit van
besluitvormingsprocessen. Daarnaast is, vanwege de beperkte aandacht voor (toetsen en
monitoren van) beheersing van risico’s; risicomanagement is nog niet in alle gevallen
voldoende gericht op het realiseren van doelen.
55

Risicoagenda provincies
De risicoagenda van Provincies toont aan dat de noodzaak voor het voeren van een
gestructureerde, organisatiebrede aanpak van risicomanagement meer dan ooit aanwezig
is. Van belang is het om aan te geven dat de strategische context van Provincies op
onderdelen wezenlijk verschilt van dat van private organisaties. Met name de turbulente –
externe- omgeving van de Provincie en de koppeling aan doelstellingen aan een politieke
vierjaarscyclus zorgt ervoor dat bij een succesvolle toepassing van risicomanagement niet
alleen kan worden volstaan met het doorlopen van de stappen van het
risicomanagementproces. Risicomanagement als instrument om te prioriteren, kansen te
benutten en om in te zetten als sturingsmiddel om mensen en processen te richten op het
bereiken van de (coalitie)doelstellingen, wordt voor de Provincies steeds belangrijker.
Criteria voor toepassing risicomanagement
Er is een grote verscheidenheid aan werkwijzen en gehanteerde raamwerken voor
risicomanagement, waarbij veelal de beheersing van financiële risico´s ten behoeve van
de controlerende (externe) accountant centraal staat. Los van het te hanteren instrument,
dient te worden beoordeeld in welke mate Provincies invulling geven aan en de
positionering van risicomanagement binnen de organisatie (structuur) en (het verbeteren
van) het draagvlak voor risicomanagement bij het management (cultuur).
Met betrekking tot Provincies, kan de toegevoegde waarde aan organisatieverbetering en
de koppeling aan (besluitvormings)processen een meerwaarde te zijn als instrument voor
een organisatiebrede aanpak van risicomanagement. Naast de te doorlopen stappen in het
risicomanagementproces, blijkt dat met name cultuur- en structuuraspecten belangrijk zijn
als criteria voor een succesvolle toepassing van risicomanagement bij de Provinciale
overheid:
1) Verantwoordelijkheden met betrekking tot risicomanagement zijn belegd op
strategisch, tactisch en operationeel niveau;
2) Er is sprake van een organisatiebreed risicobewustzijn, op zowel strategisch,
tactisch en operationeel niveau;
3) Risicomanagement maakt onderdeel uit van (besluitvorming)processen;
4) Risicomanagement sluit aan bij de doelstellingen van de Provinciale organisatie.
56

Beoordeling van criteria
Beoordeling van deze criteria bij Provincies leverde conclusies op voor de toepassingen
van ISO 31000 als instrument voor risicomanagement bij Provincies. Op basis van het
uitgevoerde onderzoek zijn de volgende algemene conclusies te trekken:
1) Risicomanagement wordt bij Provincies in toenemende mate aangestuurd vanuit
een strategische visie en beleid op de functie van risicomanagement voor de
organisatie, zonder dat er overigens een gestructureerde organisatiebrede aanpak
voorhanden is;
2) Risicomanagementprocessen zijn nog onvoldoende ingebed in de
managementstructuur en besluitvormingsprocessen van Provincies. Als voorbeeld
kan dienen dat er slechts sporadisch periodiek organisatiebreed wordt
gerapporteerd over (de voortgang) van de meest prioritaire risico’s;
3) Ondanks het risicovolle en kansrijke karakter, hebben recente externe
ontwikkelingen nauwelijks invloed op het gevoerde risicomanagement.
Risicomanagement wordt bij Provincies dan ook nog sterk traditioneel ingestoken
vanuit een verplichte externe verantwoordingsbehoefte in de paragraaf
Weerstandsvermogen;
4) Hoewel bij het merendeel van de Provincies de behoefte bestaat aan structurering
van de versnipperde aanpak van risicomanagement, worden risico’s veelal nog
gemanaged binnen afzonderlijke functionele gebieden in plaats van
organisatiebreed;
5) Er ligt met name nadruk op de risico-inventarisatie en risicoanalyse en minder op
de beheersing van de bijbehorende maatregelen. Terwijl juist het monitoren van
risicobeheersing zorgt voor een tijdige bijsturing.
57

7 BRONNEN
7.1 Literatuur
Bergenhenegouwen, L., Gouwens, R., Hortensius, D., Jong de A. (2003). Integratie
Kam/managementsystemen. Delft: Nederlands Normalisatie/instituut.
Boorsman, P.B., Haisma, A.M., Moolenaar, Y. (2006) Gemeentelijk risicomanagement, een
empirisch onderzoek. Zpl.
Braak, H.J.M. ter en Spijker, W.J.H. (1993). Overheid en strategie, een introductie.
Bestuurskunde, jaargang 2, nummer 1, 2-7.
Cameron, K.S. en Quinn, R.E. (1999). Onderzoeken en veranderen van organisatiecultuur,
Den Haag: Academic Service.
Commissie Corporate Governance (2003). De Nederlandse corporate governance code
Beginselen van deugdelijk ondernemingsbestuur en best practice bepalingen. Den haag,
maart 2003.
COSO. (2004). Risicomanagement van de onderneming geïntegreerd raamwerk.
Dooren, J. van. (2006). Risicomanagement: wat kan vervallen in de control- en
controletoren? Overheidsmanagement, nummer 5, 134-136.
Dul, S.J., (2007). Risicomanagement bij middelgrote gemeenten, te groot voor het servet,
te klein voor het tafellaken. Afstudeerscriptie NIVRA. Universiteit Nijenrode.
Economic Intelligence Unit (2008). The bigger picture; enterprise risk management in
financial service organisations. Londen.
Es, van, A.C. (2009). Nederlandse code voor goed openbaar bestuur, beginselen van
deugdelijk overheidsbestuur. Breda, Koninklijke Broese en Peereboom.
Faber, H. en Visser, C. (2006). nieuw COSO-raamwerk lost problemen voorganger niet op,
auditmagazine nr 1, 20-23.
Fraser, J.R.S. (red.). (2007). Ten common misconceptions about enterprise risk
management. Journal of Applied Corporate Finance, volume 19 number 4, 75-81.
Hart, R. ´t. (2007). Risicomanagement: van ad hoc naar integraal.
Risicomanagementspecial nr 4, 6-7. Reed Business.
Hart, R. ´t. , Scholten, J. (2009). Risicomanagement: meer EQ dan IQ; gedrag net zo
belangrijk als kennis. Controllersmagazine, januari/februari 2009, 22-25.
Herman, M.L., Head, G.L., Jackson, P.M., Fogarty, T. (2004). Managing risk in nonprofit
organizations, a comprehensive guide. New yersey+ John Wiley & Sons.
Herwaarden, P. van; Boer, M., Visser, C.A. (2003) Van financial reporting control naar
organisatiebrede control en risicomanagement. Artikel in Financieel Management, oktober
2003.
Hofstra, P. (2007). Riskmanagement van het collegeprogramma. Deloitte.
59

D´Hondt, E.M. (2008). Vertrouwen en verantwoorden, Voorstellen voor decentralisatie en
bestuurskracht. Breda: Koninklijke Broese en Peereboom.
Johnson, G., Scholes, K. en Whittington, R. (2005). Exploring Strategy. Essex: Prentice
Hall.
Knight, K.W. (2008). Risk management, a journey…not a destination. Nundah, Australie.
Lodders-Elfferich, P.C. (2008). Ruimte, regie en rekenschap, Rapport van de Gemengde
commissie decentralisatievoorstellen provincies. Den Haag: BzK.
Mans, J.H.H. (2008). De tijd is rijp, Commissie Herziening Handhavingsstelsel VROMregelgeving.
Den Haag: Lifoka kopie & print bv.
Marle, E. van, Haisma, G. (2009). ISO 31000 stimuleert integraal risicomanagement.
Tijdschrift Public Controlling, februari 2009, 14-19. SDU uitgeveri.
Merchant, K.A. en Stede, van der, W.A. (2003) Management control systems,
Essex: Prentice Hall.
Moerkamp, J.(2003). Risicomanagement achilleshiel decentraal bestuur. Tijdschrift B&G,
oktober 2003, 6-7.
Moorsel, H. van en Visser, C.A. (2003). Een theoretisch kader voor integraal
rirsicomanagement, toegespitst op de overheid. Overheidsmanagement 2003/2, 44-47.
Nijendaal, G.A., Steiner, B. (2009). Provinciefonds: omvang en verdeling ter discussie, de
rekensommen achter het advies van de Rfv. Tijdschrift B&G, jaargang 36, nummer 4, april
2009, 5-9.
Noordergraaf, M. (2008). Management in het publieke domein. Issues, instituties en
instrumenten. Muiderberg: Couthino.
Oosting, M. (2007). Van specifiek naar generiek, doorlichting en beoordeling van
interbestuurlijke toezichtarrangementen. Breda: Koninklijke Broese & Peereboom.
Paape, L. (2005). Risicomanagement, de praktijk in Nederland. PricewaterhouseCoopers.
Rasmussen, M., (2007). As/NZ 4360- a practical choice over COSO ERM. Forrester
Research, 3 januari 2007.
Renn, O. (2005). Risk governance, towards an integrative approach. White paper of the
Risk Governance Council. Geneve, Zwitserland.
Samad-Khan, A. (2005). Why COSO is flawed. Operational Risk magazine, januari 2005.
Santen, B.P.A. (2006). Corporate governance in de praktijk. Zpl., Kluwer.
Schoutrop, R. (2006). ISO is gelijk aan SOX? Afstudeerscriptie. Amsterdam: Universiteit
van Amsterdam.
Valens, P.M.M. (1993). Topambtenaren, boeren en levende diamanten, of waarom
strategie-ontwikkeling bij de overheid relatief lastig is. Bestuurskunde, jaargang 2,
nummer 1, 42-44.
Wetenschappelijke Raad voor het regeringsbeleid (2008). Onzekere veiligheid,
verantwoordelijkheden rond fysieke veiligheid. Amsterdam:Amsterdam University Press.
60

Zoellick, B., Frank, T. (2005). Governance, risk management and compliance: an
operational approach. Zpl, Gilbane Report.
7.2 Methodische literatuur
Baarda, D.B., Goede, de M.P.M., Teunisssen, J. (2007). Basisboek voor het opzetten en
uitvoeren van kwalitatief onderzoek. Groningen: Wolters-Noordhoff.
Swanborn, P.G. (1987). Methoden van sociaal-wetenschappelijk onderzoek. Meppel:
uitgeverij Boom.
Verschuren, P, Doorewaard, H. (2007). Het ontwerpen van een onderzoek. Den Haag :
uitgeverij Lermma.
Wester, F. (1991), Strategieën voor kwalitatief onderzoek, Muiderberg, Coutinho.
7.3 Documenten
Bosman, R.F.D. (2008). Interprovinciale vergelijking van Jaarstukken. Maastricht.
Deloitte. (2008). Risk management in een politiek bestuurlijke omgeving.
Verdiepingssessie op het PRIMO-jaarcongres. Den Bosch, 9 oktober 2008.
Gemeente Rotterdam (2005). Greep op risico´s, mededeling over de bedrijfsvoering.
Ministerie van Binnenlandse Zaken en Koninkrijksrelaties. (2004). Besluit
accountantscontrole provincies en gemeenten (BAPG). Den Haag, BZK.
Ministerie van Financiën, Directie Accountancy Rijksoverheid (2000). Handleiding
Government Governance – een instrument ter toetsing van de governance bij de
rijksoverheid. Den Haag, BZK.
Ministerie van Binnenlandse Zaken en Koninkrijksrelaties. (2009). Staat van het bestuur
2008, een algemeen beeld van de trends bij gemeenten, provincies en de interbestuurlijke
betrekkingen. Den Haag, BZK.
Ministerie van BZK. (2003). ‘Respons, een scan voor bestuurlijke planning & control in een
duaal stelsel’. februari 2003.
Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, Interprovinciaal overleg (IPO)
(2005). Paragrafen in een duaal bestel. Den Haag, BZK.
Nederlands Normalisatie Instituut NEN. Diverse (internationale) publicaties, presentaties
en notities ten aanzien van de norm ISO-31000. Delft/ Secretariat of ISO TMB WG on Risk
Management.
Provincie Limburg, 2007. Coalitieakkoord 2007-2011: “Investeren en Verbinden”.
Maastricht.
Provincie Limburg, (2008). Organisatievisie 2015. Provincie Limburg, Maastricht.
Provincie Limburg. 2006. Projectplannen van 12 prioritaire projecten (div), Maastricht.
61

Provincie Limburg. 2006. Sturen met managementinformatie, de verbinding tussen
coalitieakkoord en outcome., Maastricht.
Provincie Limburg. (2008). Presentatie risicomanagement ten behoeve van
managementteam. Maastricht.
Provincie Limburg. (2008). Presentatie risicomanagement ten behoeve van congres
Risicomanagement. Ministerie van binnenlandse Zaken en Koninkrijkszaken. Rotterdam.
Provincie Limburg. (2008). Presentatie risicomanagement ten behoeve van seminar
Risicomanagement voor Limburgse gemeenten. Maastricht.
PricewaterhouseCoopers (2001). Scan planning & control. De planning & control bij 12
Provincies: ervaringen, leer- en verbeterpunten. Almere, PwC.
PricewaterhouseCoopers (2005). Governance & Audit bij de rijksoverheid, ontwikkelingen
in de private sector: what’s in it for you?. PwC.
Public Risk Forum (2007). Magazine for Public Risk Magazine, mei 2007
62

BIJLAGEN
63

Bijlage 1. Begeleidende brief
Maastricht, 17 april 2009
Betreft: deelname aan afstudeeronderzoek Risicomanagement
Beste collega,
Sinds 2005 ben ik werkzaam bij de Provincie Limburg in een controllerfunctie. Als
onderdeel daarvan heb ik in 2007 een start gemaakt met de implementatie van
organisatiebreed risicomanagement.
Als afsluiting van mijn opleiding (MBA-controlling) ben ik daarnaast bezig met een
afstudeeronderzoek naar de mogelijkheden van een sectorspecifieke vertaling van
ISO 31000 naar het provinciale middenbestuur. Eind 2009 wordt er namelijk een
nieuwe ISO-richtlijn gepubliceerd; ISO 31000. Deze richtlijn spitst zich toe op de
toepassing van risicomanagement binnen organisaties.
Om de toepassing van de richtlijn bij Provincies te kunnen toetsen, heb ik 36
vragen opgesteld. De enquêtes worden afgenomen bij de functionaris, die direct
betrokken is bij (implementatie/coördinatie) van risicomanagement bij de
betreffende Provincie.
Nadrukkelijk dient te worden vermeld dat de individuele uitkomsten van de
enquêtes niet worden gebruikt in mijn afstudeeronderzoek; van belang is het
totaalbeeld. Vanzelfsprekend zal ik zorgen dat je de uitkomsten van mijn
afstudeeronderzoek toegestuurd krijgt. Naar verwachting zal ik mijn
afstudeeronderzoek kort na de zomer afronden.
Het invullen van de enquête duurt ongeveer 20 minuten.
De vragenlijst is een PDF-file. Verzoek om deze uit te printen, in te vullen en –
uiterlijk 29 april-retour te sturen naar:
Provincie Limburg
Tav René Bosman
Limburglaan 10
6229 GA Maastricht
Alvast bedankt voor de medewerking!
Met vriendelijke groet
René Bosman
043-389 7471
65

Bijlage 2. Gehanteerde vragenlijst
Enquête Risicomanagement bij Provincies
Introductie
Organisaties worden steeds meer geconfronteerd met risico’s, die adequaat dienen te worden
gemanaged, omdat hun stakeholders dat van ze verwacht. Dit geldt ook zeker voor de
overheid. Specifiek voor de Provincie als middenbestuur geldt dat de meerwaarde regelmatig
ter discussie wordt gesteld. Dit vraagt om een duidelijk zichtbare en presterende Provincie die
een herkenbare toegevoegde waarde levert aan maatschappelijke vraagstukken in een steeds
complexere en risicovolle context. Voor de Provincies is de aandacht voor het voeren van een
gestructureerde, integrale aanpak van risicomanagement meer dan ooit noodzakelijk.
Deze enquête bevat in totaal 36 vragen, in drie hoofdonderdelen gesplitst. Naast de
uitgangspunten van risicomanagement, worden vragen gesteld over de door de Provincie
gehanteerde aanpak. Het laatste hoofdonderdeel staat stil bij het proces van risicobeoordeling
tot risicobeheersing, zoals dat plaats heeft binnen uw organisatie.
I. Uitgangspunten van Risicomanagement
Onderstaande vragen hebben betrekking op de uitgangspunten van risicomanagement, zoals
gehanteerd door uw Provincie.
1 Heeft uw Provincie
risicomanagementbeleid vastgesteld?
2 Op welk niveau is het
risicomanagementbeleid vastgesteld?
(meerdere antwoorden mogelijk)
3 Wat was voor uw Provincie de directe
aanleiding om risicomanagementbeleid
op te stellen?
(meerdere antwoorden mogelijk)
• Ja
• Nee (ga verder met vraag 6)
• Directie
• Gedeputeerde staten
• Provinciale staten.
• Anders, nl:
• Public governance
• Decentralisatiediscussies
• Interne veranderingen/reorganisatie
• Economische crisis
• Verscherpte wet- /regelgeving
• Een incident
• Verzoek transparantie PS.
• Onderzoek Rekenkamer.
• Bevinding van accountant
• Verzoek van college GS.
• Verbeteren van inzicht in versnipperde
risicoaanpak
• Anders, nl
66

4 Welke onderdelen zijn opgenomen in het
risicomanagementbeleid?
(meerdere antwoorden mogelijk)
5 Wanneer is het (gewijzigde)
risicomanagementbeleid voor het laatst
vastgesteld?
6 Op welke termijn zal er
risicomanagementbeleid bij uw Provincie
worden ontwikkeld cq gewijzigd?
7 Wanneer is uw Provincie begonnen met
het uitvoeren van organisatiebrede risicoinventarisaties
en risico–analyses?
8 Is het risicomanagement in uw organisatie
ingericht volgens een bepaalde
risicomanagementstandaard?
• Doelstelling
• Aanleiding (intern en extern).
• Scope (op welke organisatieonderdelen,
niveau’s is het van toepassing)
• Aanpak (identificatie risico’s en het
managen ervan).
• Op welke typen risico het beleid van
toepassing is
• Tijdspad implementatie
• Relatie met organisatiestrategie
• Beschrijving randvoorwaarden
• Rollen/verantwoordelijkheden.
• Gehanteerde risicotolerantie
• Anders, nl:
• In . . . . (jaar)
• Binnen een half jaar
• Binnen 2 jaar
• Er zijn geen plannen/voornemens
• Weet niet
• Anders, nl
• Minder dan een jaar geleden
• Tussen 1 en 3 jaar geleden
• Tussen 3 en 5 jaar geleden
• Langer dan 5 jaar geleden
• Er worden geen organisatiebrede
inventarisaties uitgevoerd
• Nog niet, wel van plan
• Nee
• Ja, namelijk:
o Coso
o ISO 9001/14001
o anders, nl:
• Weet niet
De volgende vragen hebben betrekking op een aantal specifieke interne en externe
ontwikkelingen, die impact kunnen hebben op de risicoagenda van de Provincie.
9 Welke impact hebben de
decentralisatiediscussies en
afromingvoorstellen vanuit het Rijk op
risicomanagement?
(meerdere antwoorden mogelijk)
Aanpassen van risicomanagementbeleid
Het opnieuw inventariseren van
risico’s/kansen- beheersmaatregelen
Doorberekenen van consequenties (in
fte en €)
Geen impact
Anders, nl:
67

10 Welke impact heeft de uitwerking van de
economische crisis op risicomanagement?
(meerdere antwoorden mogelijk)
11 Welke invloed heeft (gewijzigde) wet- en
regelgeving op risicomanagement?
(meerdere antwoorden mogelijk)
• Aanpassen van risicomanagementbeleid
• Het opnieuw inventariseren van
risico’s/kansen/beheersmaatregelen
• Doorberekenen van consequenties (in
fte en €)
• Geen impact
• Anders, nl
• Aanpassen van risicomanagementbeleid
• Het opnieuw inventariseren van
risico’s/beheersmaatregelen
• Aanscherpen Interne Controle
• Geen impact
• Anders, nl
De volgende vragen hebben betrekking op de definities, zoals door uw Provincie
worden gehanteerd .
12 Welke definitie voor risico wordt door de
Provincie gehanteerd?
13 Welke definitie van risicomanagement
wordt door de Provincie gehanteerd?
• ___________________
___________________
___________________
___________________
___________________
• Geen specifieke definitie
• ___________________
___________________
___________________
___________________
___________________
• Geen specifieke definitie
68

II. De aanpak van risicomanagement bij uw Provincie
Onderstaande vragen hebben betrekking op de aanpak en positionering van
risicomanagement bij uw Provincie.
14 Hoe is risicomanagement van uw Provincie
het beste te omschrijven
(meerdere antwoorden mogelijk)
15 Wordt er gewerkt met een verklaring van
het verantwoordelijk management dat hun
organisatieonderdeel ‘in-control’ is?
• gemanaged door specialisten.
• gemanaged door specialisten,
gecoördineerd door topmanagement .
• volledig geïntegreerd in de
lijnorganisatie
• beperkte interactie tussen de
verschillende gebieden van
risicomanagement.
• anders, nl:
• Ja
• Nee
• Weet niet
De volgende vragen hebben betrekking op de rollen en verantwoordelijkheden
van risicomanagement binnen uw organisatie.
16 Welke functionaris is primair
• Gedeputeerde
verantwoordelijk voor concernbrede risico- • Directeur
identificatie en analyse?
• Concerncontroller
• Risicomanager
• Medewerker interne controle
• Hoofd Middelen (financiën)
• Anders, nl…
17 Welke taken heeft deze functionaris?
• Opstellen risicomanagement beleid
• Implementatie van aanpak
(meerdere antwoorden mogelijk)
• Identificeren/analyseren risico’s
• Toetsen effectiviteit
beheersmaatregelen
• Zorgen voor afstemming tussen
afzonderlijke gebieden
• Rapporteren over risico’s
• Anders namelijk….
18 Zijn de taken en verantwoordelijkheden tav • Ja, in risicomanagement
risicomanagement vastgelegd?
beleid/-procedures
• Ja, in de functiebeschrijving
(meerdere antwoorden mogelijk)
projectleiders
• Ja, in functiebeschrijving managers
• Nee
• Anders namelijk….
69

19 Worden medewerkers getraind in
risicomanagement?
(meerdere antwoorden mogelijk)
20 Van welke externe advisering is gebruik
gemaakt bij het opstellen van
risicomanagementbeleid?
(meerdere antwoorden mogelijk)
21 Van welke externe advisering is gebruik
gemaakt bij het identificeren van
organisatiebrede risico’s ?
(meerdere antwoorden mogelijk)
22 In de paragraaf Weerstandsvermogen wordt
gerapporteerd over het beleidskader en de
risico´s.
Zijn de in deze paragraaf opgenomen
risico´s een afgeleide van de
organisatiebrede inventarisatie van
risico´s?
23 Op de beheersing van welk soort risico’s
ligt de nadruk bij uw Provincie?
(meerdere antwoorden mogelijk)
• Onderdeel van introductieprogramma
nieuwe medewerkers
• Onderdeel van managementontwikkelprogramma
• Onderdeel van projectmatig
werken
• Training van bevorderen
integraliteit tussen de verschillende
risicogebieden
• Er vindt geen training plaats
• Anders namelijk….
• accountant
• gespecialiseerd adviesbureau
• andere Provincie/gemeente
• Ministerie Binnenlandse Zaken
(BZK)
• Geen gebruik gemaakt
• Anders, nl….
• accountant
• gespecialiseerd adviesbureau
• andere Provincie/gemeente
• geen gebruik gemaakt
• Anders, nl…
• Ja
• Er vindt geen organisatiebrede
risico-inventarisatie plaats
• Anders, nl…
• Financieel
• Juridisch
• Personeel
• Politiek/bestuurlijk
• Bedrijfsvoering
• Fiscaal
• anders namelijk…..
70

III. Het proces van risicomanagen
De volgende vragen gaan over het proces van risicobeoordeling tot risicobeheersing binnen
uw organisatie.
24 Worden bij de Provincie risico’s integraal
(in samenhang) geïdentificeerd en
beoordeeld?
(meerdere antwoorden mogelijk)
25 Worden daarbij ook de bijbehorende
beheersmaatregelen in kaart gebracht?
26 Worden de geïnventariseerde risico’s
gekoppeld aan de doelstellingen/resultaten
van de Provincie?
27 Welke technieken worden gebruikt voor het
identificeren en beoordelen van risico’s?
(meerdere antwoorden mogelijk)
28 Worden er (kwantitatieve) criteria
gehanteerd voor de beoordeling van
risico’s?
29 Welke hulpmiddelen worden gebruikt bij het
identificeren en beoordelen van risico’s?
(meerdere antwoorden mogelijk)
30 Op welke wijze wordt getoetst of de risico’s
voldoende worden beheerst?
(meerdere antwoorden mogelijk)
• 1 x per jaar
• 2 x per jaar
• 4 x per jaar
• Alleen bij grote
investeringsbeslissingen (ga naar
vraag 26)
• Alleen bij grote projecten (ga naar
vraag 26)
• Nee (ga naar vraag 26)
• Anders, nl
• ja
• nee
• Ja, zoals vastgelegd in de
programmabegroting
• Ja, zoals vastgelegd in de
productenraming
• Nee
• simulatie
• scenario analyse
• checklists
• workshops
• interviews
• documentstudie
• geen
• anders namelijk….
• Nee
• Ja, namelijk………
• Stemkasten
• Brainstormsoftware
• Digitale enquêtes
• Risicologboek
• Koppeling aan procesinstrument
• Risicodatabase
• Geen
• Anders namelijk….
• Interne Controle
• Uitvoeren van audits, door
afdelingen zelf
• Uitvoeren van audits, door
concern
• Geen toetsing
• Anders, nl
71

Onderstaande vragen hebben betrekking op de rapportage van risico’s binnen uw
organisatie
31 Benoem het aantal risico’s, zoals periodiek
wordt gerapporteerd aan het directieteam
32 Op welke wijze wordt er gerapporteerd over
risico’s binnen uw organisatie?
(meerdere antwoorden mogelijk)
33 Bestaat er een top 5 of top 10 van risico’s
per organisatieonderdeel
(afdeling/dienst/programma)?
34 Er bestaan verschillen in risicogebieden en
risico’s per organisatieonderdeel.
Op welke wijze wordt gerapporteerd over
elkaars risico’s?
35 Zijn risico’s en beheersmaatregelen in
processen vastgelegd ?
36 Worden de risico’s, zoals vastgelegd in
processen, gemonitored?
• Minder dan 5
• tussen 5 en 10
• tussen 10 en 20
• tussen 20 en 30
• meer dan 30
• Er worden geen risico’s
gerapporteerd aan directie
• GS-nota´s
• Projectplannen
• Weerstandsparagraaf
• Voortgangsrapportages richting
Provinciale Staten
• Voortgangsrapportages richting
GS
• Anders namelijk….
• Ja, een top 5
• Ja, een top 10
• Nee, wel een top . . . .
• Nee
• Ad-hoc discussies tijdens
managementoverleggen
• Vast agendaonderdeel tijdens
managementoverleggen
• Schriftelijke risicorapportages, op
reguliere basis
• Data, toegankelijk in een
risicodatabase
• Er wordt niet gerapporteerd over
elkaars risico’s
• Anders, nl:
• ja
• nee (Einde vragenlijst)
• Ja
• nee
Als u nog vragen, opmerkingen heeft, kunt u deze hier kwijt
72

Bijlage 3. Nederlandse Normcommissie Risicomanagement
Nederlandse Normcommissie Risicomanagement
Achtergrond
Door de International Organization for Standardization (ISO) is medio 2005 besloten een
internationale generieke ISO-richtlijn voor Risicomanagement te ontwikkelen: ISO 31000
“Risk management - Guidelines for principles and implementation of risk management.”
Daarvoor is een werkgroep opgericht waarvan Japan het secretariaat voert en waarvoor
Australië de voorzitter levert. ISO 31000 beoogt een gemeenschappelijk begrippenkader
en generiek raamwerk te bieden voor het managen van allerlei typen risico’s. Naderhand
is ook de herziening van ISO Guide 73 “Risk Management – Vocabulary” aan de ISOwerkgroep
toevertrouwd. Via NEN, het Nederlandse lid van ISO, wordt door Nederlandse
belanghebbende partijen deelgenomen aan dit ISO-project. Hiertoe is in 2006 de
normcommissie Risicomanagement opgericht.
Doelstelling van de normcommissie
1. Het verzorgen en bepalen van de Nederlandse inbreng bij de internationale
normalisatie op het gebied van Risicomanagement (Risk Management), zoals die
plaatsvindt in de internationale werkgroep ISO/TMB/WG/RM.
2. Faciliteren van de implementatie en toepassing van de generieke ISO-richtlijn op
nationaal en bedrijfstakniveau, zo nodig door het ontwikkelen van specifieke richtlijnen
die een nadere invulling geven van het generieke ISO-kader voor risicomanagement.
Werkwijze
De nationale normcommissie vergadert circa 4 maal per jaar een halve dag (mede
afhankelijk van de internationale ontwikkelingen) om aan beide doelstellingen invulling te
kunnen geven. Daarnaast stelt de normcommissie de Nederlandse delegatie naar de
vergaderingen van de internationale werkgroep vast. Op die manier kunnen Nederlandse
experts een rechtstreekse inbreng leveren bij de ontwikkeling van de internationale
richtlijn.
Looptijd
De ontwikkeling van ISO 31000 zal circa 4 jaar in beslag nemen; het proces is medio 2005
gestart en volgens planning zullen ISO 31000 en ISO Guide 73 najaar 2009 in hun
definitieve vorm verschijnen. Parallel en in vervolg daarop zal de normcommissie zich
beraden op de noodzaak meer specifieke richtlijnen te ontwikkelen en andere activiteiten
te ontplooien ten behoeve van de implementatie van ISO 31000 op nationaal en
bedrijfstakniveau.
Faciliterende rol NEN
NEN verzorgt het secretariaat van de normcommissie en vertegenwoordigt Nederland in
de internationale werkgroep. De hiermee verbonden kosten komen voor rekening van de
in de normcommissie deelnemende partijen.
Deelnemende partijen in de normcommissie Risicomanagement
Op dit moment participeren de volgende organisaties in de normcommissie:
− Philips;
− Genootschap voor Risicomanagement;
− Essent NV;
− Bouwend Nederland/Risnet;
− KEMA;
− TenneT BV;
− RPS Advies BV;
73

− KDI BV;
− DHV;
− Ministerie van VROM, Directie Externe Veiligheid;
− Narim;
− Akzo Nobel;
− Nivra;
− Nibe-SVV;
− Equens;
− NAR.
74

Bijlage 4. Artikel ‘risicomanagement rukt op’
Politiek magazine, nummer 2, najaar 2008
75