Raamwerk of Kooi - Genootschap voor Risicomanagement
Raamwerk of Kooi - Genootschap voor Risicomanagement
Raamwerk of Kooi - Genootschap voor Risicomanagement
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
RAAMWERK OF KOOI?<br />
Geschiktheid van ISO-31000 als instrument <strong>voor</strong> risicomanagement bij de<br />
Provinciale overheid<br />
Drs. R.F.D. BOSMAN Begeleider: drs. J. van den Brink<br />
Maastricht, 9 december 2009<br />
MBA-Controlling<br />
Business School Nederland
RAAMWERK OF KOOI?<br />
Geschiktheid van ISO-31000 als instrument <strong>voor</strong> risicomanagement bij de<br />
Provinciale overheid
SAMENVATTING<br />
Organisaties worden steeds meer geconfronteerd met risico’s, die adequaat dienen te<br />
worden gemanaged, omdat hun stakeholders dat van ze verwacht. Dit geldt ook zeker<br />
<strong>voor</strong> de overheid. De overheid wordt in deze tijd sterk op haar functioneren aangesproken<br />
en er bestaat een groeiende onvrede over de prestaties van de overheid. Veranderend<br />
beleid, gewijzigde regelgeving, prestatiecontracten, decentralisatiediscussies,<br />
marktwerking etc. Op alle niveaus en in alle bestuurslagen wordt gezocht naar een<br />
nieuwe, betere invulling van het functioneren van de overheid.<br />
Het onderzoek richt zich op het inzichtelijk maken en beoordelen van kritische<br />
succesfactoren van risicomanagement bij de Provinciale overheid in Nederland.<br />
Verschillende ontwikkelingen zorgen er<strong>voor</strong> dat <strong>voor</strong> de Provincies de aandacht <strong>voor</strong> het<br />
voeren van een gestructureerde, organisatiebrede aanpak van risicomanagement meer<br />
dan ooit gewenst is. De vraag dringt zich op hoe Provincies zich op een zo gestructureerd<br />
mogelijke manier risicomanagement eigen kunnen maken. Centraal daarbij staat niet<br />
alleen het ontwikkelen van risicomanagementbeleid, maar met name het beschikken over<br />
een geschikt instrument om haar processen, activiteiten en de hieraan verbonden risico’s<br />
te managen, zodat deze aansluiten bij de vastgestelde doelstellingen.<br />
Er zijn talloze modellen ontwikkeld om bedrijven en organisaties te helpen om risico’s te<br />
managen, een wildgroei aan verschillende systemen en risicoraamwerken is ontstaan. De<br />
tot dusver ontwikkelde modellen hebben met name betrekking op private organisaties.<br />
Voor Provincies verschilt de (politiek-bestuurlijke) context echter wezenlijk van dat van<br />
private organisaties. Er is nauwelijks onderzoek gedaan naar de toepassing van<br />
risicomanagement bij de Provinciale overheid in Nederland, met specifieke aandacht <strong>voor</strong><br />
de invloed van de politiek-bestuurlijke context op het managen van risico’s.<br />
De doelstelling van dit onderzoek luidt:<br />
Inzicht krijgen in de geschiktheid van ISO-31000 als instrument <strong>voor</strong> risicomanagement<br />
bij de Provinciale overheid.<br />
De kritische succesfactoren zijn gebaseerd op de uitgangspunten van de eind 2009 te<br />
publiceren richtlijn <strong>voor</strong> <strong>Risicomanagement</strong>; ISO-31000. ISO-31000 is een<br />
managementsysteem dat beschrijft wat een organisatie moet doen om de (risico)aspecten<br />
van haar processen en activiteiten te managen zodat de resultaten en uitkomsten<br />
aansluiten bij de vastgestelde doelstellingen.
Achtereenvolgens is literatuurstudie en veldonderzoek uitgevoerd. Hierbij zijn onder meer<br />
experts op het gebied van risicomanagement geïnterviewd. Op basis van dit<br />
<strong>voor</strong>onderzoek blijkt dat met name cultuur- en structuuraspecten belangrijk zijn als<br />
kritische succesfactor <strong>voor</strong> een succesvolle toepassing van risicomanagement. Als kritische<br />
succesfactor <strong>voor</strong> risicomanagement bij Provincies dienen:<br />
1. Verantwoordelijkheden met betrekking tot risicomanagement zijn belegd op<br />
strategisch, tactisch en operationeel niveau;<br />
2. Er is sprake van een organisatiebreed risicobewustzijn, op zowel strategisch,<br />
tactisch en operationeel niveau;<br />
3. <strong>Risicomanagement</strong> maakt onderdeel uit van (besluitvorming)processen;<br />
4. <strong>Risicomanagement</strong> sluit aan bij de doelstellingen van de Provinciale organisatie.<br />
Deze criteria zijn vervolgens getoetst door middel van enquêtes en interviews bij de<br />
Provincies. Op basis van het uitgevoerde onderzoek zijn de volgende algemene conclusies<br />
te trekken:<br />
1. <strong>Risicomanagement</strong> wordt bij Provincies in toenemende mate aangestuurd vanuit<br />
een strategische visie en beleid op de functie van risicomanagement <strong>voor</strong> de<br />
organisatie, zonder dat er een gestructureerde organisatiebrede aanpak<br />
<strong>voor</strong>handen is;<br />
2. <strong>Risicomanagement</strong>processen zijn nog onvoldoende ingebed in de<br />
managementstructuur en besluitvormingsprocessen van Provincies;<br />
3. <strong>Risicomanagement</strong> wordt bij Provincies nog sterk traditioneel ingestoken vanuit een<br />
verplichte externe verantwoordingsbehoefte in de paragraaf Weerstandsvermogen;<br />
4. Hoewel bij het merendeel van de Provincies de behoefte bestaat aan structurering<br />
van de versnipperde aanpak van risicomanagement, worden risico’s nog steeds<br />
gemanaged binnen afzonderlijke functionele gebieden;<br />
5. Er ligt met name nadruk op de risico-inventarisatie en risicoanalyse en minder op<br />
de beheersing van de bijbehorende maatregelen.<br />
Samenvattend kan worden gesteld dat ISO-31000, met een expliciete koppeling van de<br />
uitgangspunten, raamwerk en proces van risicomanagement, in beginsel een geschikt<br />
instrument is <strong>voor</strong> een Provinciale toepassing van risicomanagement. De generieke opzet<br />
van ISO-31000 maakt het een geschikt instrument dat recht doet aan de verschillende<br />
fasen waarin Provincies op het gebied van risicomanagement staan.<br />
De complexe besluitvormingsprocessen van de Provinciale overheid en de sterk<br />
veranderende externe context waarin de Provincies zich bevinden, maken een<br />
organisatiebrede aanpak van risicomanagement noodzakelijk. Daarbij dient te worden<br />
voldaan aan de genoemde beoordelingscriteria.
VOORWOORD<br />
Verdieping en ontwikkeling in bedrijfskunde. Dat waren <strong>voor</strong> mij de belangrijkste<br />
drijfveren om 3 jaar geleden te starten met een Master <strong>of</strong> Business Administration-<br />
opleiding. De specialisatie Controlling was een logische; in mijn loopbaan staat met name<br />
het aandachtsgebied control centraal.<br />
De keuze <strong>voor</strong> het onderwerp van het afstudeeronderzoek, risicomanagement, bleek een<br />
actuele. De afgelopen jaren is het vakgebied risicomanagement immers volop in het<br />
nieuws. Ook het (mis)managen van risico’s bij de Provinciale overheid staat nogal eens ter<br />
discussie. De belangstelling <strong>voor</strong> de resultaten van het onderzoek, bevestigen het beeld<br />
dat in toenemende mate behoefte bestaat aan een doordachte toepassing van<br />
risicomanagement binnen Provincies. Ik hoop dat mijn onderzoek bijdraagt aan de<br />
discussie hierover.<br />
Inmiddels ben ik 3 jaar, 8 modules, 32 studieboeken, 5 risicomanagementseminars en 4<br />
presentaties verder. En kan ik constateren dat de opleiding bij mij nu al een verdieping<br />
heeft opgeleverd op het gebied van bedrijfskunde.<br />
Graag wil ik mijn dank uitspreken aan een ieder die mij heeft geholpen danwel<br />
gemotiveerd bij het uitvoeren van dit onderzoek en het schrijven van deze rapportage en<br />
een aantal mensen in het bijzonder. Allereerst mijn begeleiders. Ik wil Robert ’t Hart<br />
danken <strong>voor</strong> zijn kritische reflectie en aanstekelijke enthousiasme. Veelvuldig en intensief<br />
was het contact; het heeft er<strong>voor</strong> gezorgd dat er een prima match was tussen mijn kennis<br />
en ervaring bij de Provinciale overheid en zijn grote expertise op het vakgebied van<br />
risicomanagement.<br />
Daarnaast wil ik Joke van den Brink van het opleidingsinstituut bedanken <strong>voor</strong> de goede<br />
inhoudelijke en procesmatige begeleiding van het onderzoek.<br />
Dick Hortensius dank ik, als vertegenwoordiger van de normcommissie ISO-31000, <strong>voor</strong><br />
het frequent informeren over ontwikkelingen op het gebied van de ISO-norm.<br />
Het was een lang en intensief traject. Naast een full-time baan was deze<br />
(zater)dagopleiding dan ook een balans zoeken tussen opleiding en privé. Het was<br />
derhalve ook een belasting <strong>voor</strong> het thuisfront. De laatste woorden van het <strong>voor</strong>woord zijn<br />
dan ook <strong>voor</strong> Rian, Thieme en Benthe.<br />
René Bosman<br />
Roermond, 29 september 2009
INHOUDSOPGAVE<br />
VOORWOORD<br />
SAMENVATTING<br />
1 INLEIDING ..................................................................................................................... 1<br />
1.1 Aanleiding ............................................................................................................1<br />
1.2 Leeswijzer ............................................................................................................3<br />
2 OPDRACHT EN ONDERZOEK........................................................................................... 5<br />
2.1 Probleem- en doelstelling........................................................................................5<br />
2.1.1 Probleemstelling....................................................................................................5<br />
2.1.2 Doelstelling...........................................................................................................5<br />
2.2 Onderzoeksopzet ...................................................................................................6<br />
2.2.1 Onderzoeksmodel ..................................................................................................6<br />
2.2.2 Onderzoekstype ....................................................................................................7<br />
2.2.3 Centrale vraagstelling ............................................................................................7<br />
3 LITERATUURONDERZOEK ........................................................................................ 9<br />
3.1 Inleiding...............................................................................................................9<br />
3.2 Risico...................................................................................................................9<br />
3.3 <strong>Risicomanagement</strong>...............................................................................................10<br />
3.4 Risicoraamwerk ...................................................................................................12<br />
3.5 ISO-31000 .........................................................................................................15<br />
3.6 Risicoagenda bij Provincies ...................................................................................20<br />
1. Economische crisis ..................................................................................................22<br />
2. Afroming van Rijksuitkeringen...................................................................................23<br />
3. Decentralisatiediscussies ..........................................................................................24<br />
4. Veranderde wetgeving .............................................................................................24<br />
5. Nederlandse code <strong>voor</strong> goed openbaar bestuur............................................................28<br />
3.7 <strong>Risicomanagement</strong> bij Provincies ...........................................................................29<br />
3.8 Operationaliseren van begrippen............................................................................32
4 METHODOLOGIE ........................................................................................................... 35<br />
4.1 Vooronderzoek ....................................................................................................35<br />
4.2 Te raadplegen bestaande bronnen..........................................................................36<br />
4.3 Te raadplegen expert ...........................................................................................38<br />
4.4 Operationalisatie van begrippen.............................................................................38<br />
4.5 Dataverzameling .................................................................................................41<br />
4.6 Dataverwerking...................................................................................................41<br />
4.7 Kwaliteit van dataverzamelingmethoden .................................................................42<br />
5 RESULTATEN ................................................................................................................ 43<br />
5.1 Inleiding.............................................................................................................43<br />
5.2 Uitgangspunten risicomanagement.........................................................................44<br />
5.3 <strong>Raamwerk</strong> risicomanagement................................................................................49<br />
5.4 <strong>Risicomanagement</strong> proces.....................................................................................52<br />
6 CONCLUSIES ................................................................................................................ 55<br />
7 BRONNEN..................................................................................................................... 59<br />
7.1 Literatuur ...........................................................................................................59<br />
7.2 Methodische literatuur..........................................................................................61<br />
7.3 Documenten .......................................................................................................61<br />
BIJLAGEN ......................................................................................................................... 63<br />
BIJLAGE 1. BEGELEIDENDE BRIEF ........................................................................................65<br />
BIJLAGE 2. GEHANTEERDE VRAGENLIJST ..............................................................................66<br />
BIJLAGE 3. NEDERLANDSE NORMCOMMISSIE RISICOMANAGEMENT .........................................73<br />
BIJLAGE 4. ARTIKEL ‘RISICOMANAGEMENT RUKT OP’ .............................................................75
1 INLEIDING<br />
Dit ho<strong>of</strong>dstuk heeft tot doel om de context te schetsen waarbinnen <strong>voor</strong>liggend onderzoeksverslag<br />
tot stand is gekomen (1.1). Daarna wordt in een leeswijzer de opbouw van de rapportage<br />
beschreven (1.2).<br />
1.1 Aanleiding<br />
De overheid wordt in deze tijd sterk op haar functioneren aangesproken en er bestaat een<br />
groeiende onvrede over de prestaties van de overheid. Veranderend beleid, gewijzigde<br />
regelgeving, prestatiecontracten, marktwerking etc. Op alle niveaus en in alle<br />
bestuurslagen wordt gezocht naar een nieuwe, betere invulling van het functioneren van<br />
de overheid.<br />
Specifiek <strong>voor</strong> de Provincie als middenbestuur geldt dat de meerwaarde regelmatig ter<br />
discussie wordt gesteld. Dit vraagt om een duidelijk zichtbare en presterende Provincie,<br />
die een herkenbare toegevoegde waarde levert aan maatschappelijke vraagstukken in een<br />
steeds complexere en risicovolle context.<br />
De externe omgeving van de Provincie is complex en turbulent. De toekomst van de<br />
Provincie als bestuurslaag staat daarnaast ook nog ter discussie. Anticiperend op die<br />
onzekerheid, zal <strong>voor</strong>al aandacht <strong>voor</strong> een effectieve strategische aanpak van de<br />
maatschappelijke vraagstukken, zoals ze door de provinciale partners en klanten naar<br />
voren worden gebracht, het bewijs <strong>voor</strong> de toegevoegde waarde van de Provincie moeten<br />
leveren. Resultaat en rekenschap over de prestatie van de Provincie is daarbij van groot<br />
belang. <strong>Risicomanagement</strong> als instrument om te prioriteren en als sturingsmiddel om<br />
mensen en processen te richten op het bereiken van de (coalitie)doelstellingen wordt<br />
daarmee steeds belangrijker.<br />
Het niet adequaat managen van risico’s heeft in een recent verleden grote gevolgen gehad<br />
<strong>voor</strong> politiekgevoelige dossiers bij Provincies. Zo speelde bij<strong>voor</strong>beeld in de Provincie Zuid-<br />
Holland de Ceteco-affaire, waarbij is gebleken dat de Provincie op grote schaal in geld<br />
handelde, zonder dat Provinciale Staten hier van af wisten. In de Provincie Gelderland was<br />
sprake van een affaire rond het evenementenbeleid, waarbij geld is toegekend <strong>voor</strong><br />
activiteiten, die –in strijd met de regels- niet waren goedgekeurd door Provinciale Staten.<br />
Ook de kredietcrisis toont aan dat niet alleen in de financiële wereld sprake is van een<br />
toenemende behoefte aan een adequaat functionerend risicomanagement. In de loop van<br />
2008 bleek dat gemeentelijke en provinciale overheden vele miljoenen euro's hebben<br />
uitstaan bij IJslandse banken. Een onderzoek 1 naar het financiële beleid van de Provincie<br />
1 Triple R, regels, Rendement en Risico’, provinciale onderzoekscommissie Noord-Holland, 29 mei 2009.<br />
1
Noord-Holland, concludeerde dat de Provincie ten onrechte geen actief risicomanagement<br />
voerde. De uitkomsten van dit onderzoek leidden tot het aftreden van het voltallige<br />
College van Gedeputeerde Staten in juni 2009.<br />
Verschillende ontwikkelingen zorgen er<strong>voor</strong> dat <strong>voor</strong> de Provincies de aandacht <strong>voor</strong> het<br />
voeren van een gestructureerde, integrale aanpak van risicomanagement meer dan ooit<br />
gewenst is. Daarbij is een onderscheid te maken tussen recente externe ontwikkelingen<br />
(decentralisatiediscussies, kredietcrisis) en ontwikkelingen vanuit wet- en regelgeving.<br />
Als gevolg van genoemde veranderingen staat de legitimiteit van de Provincie als<br />
middenbestuur onder druk. Er is verwarring over de vraag wie verantwoordelijk is <strong>voor</strong><br />
fouten en wat de gevolgen van een dergelijke verantwoordelijkheid moeten zijn<br />
[Noordergraaf, 2008]. De druk vanuit de samenleving op overheidsbestuur om te ordenen<br />
en te regelen, bij<strong>voor</strong>beeld om risico´s in te dammen, neemt toe.<br />
De Provincies hebben vanuit het Besluit Begroting en Verantwoording [BBV, 2003]<br />
weliswaar de verplichting om beleid te voeren op het gebied van risicomanagement, de<br />
praktijk vraagt echter een bredere benadering met integratie van risicomanagement in de<br />
dagelijkse praktijk. Er is dan ook in toenemende mate behoefte aan een organisatiebrede<br />
aanpak van risicomanagement en een gemeenschappelijk kader [Hortensius, 2008]. Het<br />
managen van risico´s kan niet louter als een technische kwestie worden <strong>voor</strong>gesteld,<br />
waarbij de stappen van risico-identificatie, -analyse, monitoring en bijsturing wordt<br />
doorlopen. Het managen van risico´s is bij uitstek een politiek vraagstuk [Noordergraaf,<br />
2008].<br />
Er zijn talloze raamwerken ontwikkeld om bedrijven en organisaties te helpen om risico’s<br />
te managen. Het risicoraamwerk is het kader dat er<strong>voor</strong> moet zorgen dat<br />
risicomanagementprocessen zijn ingebed in de managementstructuur en<br />
besluitvormingsprocessen van de organisatie en dat ze worden aangestuurd vanuit een<br />
duidelijke visie en beleid op de functie van risicomanagement <strong>voor</strong> de organisatie. De<br />
grote hoeveelheid aan publicaties suggereren dat een risicoraamwerk een makkelijk te<br />
ontwikkelen instrument is, waar je na implementatie, als organisatie snel beter van wordt.<br />
Het tegendeel blijkt waar. Draagvlak, houding en gedrag zijn een belangrijke succes- en<br />
faalfactor <strong>voor</strong> het adequaat managen van risico’s. Zonder draagvlak van het management<br />
kan nooit sprake zijn van succesvol integraal risicomanagement [’t Hart, 2009].<br />
De tot dusver ontwikkelde raamwerken hebben met name betrekking op private<br />
organisaties. Voor Provincies verschilt de (politiek-bestuurlijke) context echter wezenlijk<br />
2
van dat van private organisaties. Het is <strong>voor</strong> Provincies van belang om risico’s te kunnen<br />
koppelen aan de doelstellingen, zoals deze zijn opgenomen in het coalitieakkoord en<br />
doorvertaald in de programmabegroting. Daarmee kan worden bereikt dat<br />
risicomanagement bijdraagt aan de minst risicovolle manier van doelbereik [’t Hart, 2008].<br />
In 2005 is besloten een internationale generieke richtlijn <strong>voor</strong> risicomanagement te<br />
ontwikkelen, die eind 2009 zal worden gepubliceerd. Deze richtlijn: ISO-31000, beoogt<br />
een gemeenschappelijk begrippenkader en generiek raamwerk te bieden <strong>voor</strong> het<br />
managen van allerlei typen risico’s. In dit onderzoek wordt, op basis van de<br />
uitgangspunten van ISO-31000, inzicht verschaft in de kritische succesfactoren van een<br />
instrument, geschikt <strong>voor</strong> toepassing van risicomanagement bij Provincies.<br />
1.2 Leeswijzer<br />
Dit rapport en het beschreven onderzoek zijn opgebouwd volgens de methoden van<br />
Verschuren en Dodewaard [2007].<br />
Ho<strong>of</strong>dstuk 1<br />
Inleiding<br />
Ho<strong>of</strong>dstuk 2<br />
Opdracht en<br />
onderzoek<br />
Ho<strong>of</strong>dstuk 3<br />
Literatuuronderzoek<br />
Ho<strong>of</strong>dstuk 4<br />
Methodologie<br />
Ho<strong>of</strong>dstuk 5<br />
Onderzoeksresultaten<br />
Ho<strong>of</strong>dstuk 6<br />
Conclusies<br />
In het eerste ho<strong>of</strong>dstuk wordt de achtergrond van het onderzoek beschreven. In ho<strong>of</strong>dstuk<br />
twee wordt ingegaan op de onderzoeksopdracht. Vervolgens geeft ho<strong>of</strong>dstuk drie inzicht in<br />
de onderzoeksoptiek aan de hand van literatuuronderzoek. De onderzoeksopzet is<br />
uitgewerkt in het vierde ho<strong>of</strong>dstuk. De onderzoeksresultaten zijn beschreven in ho<strong>of</strong>dstuk<br />
5, waarna tenslotte in ho<strong>of</strong>dstuk 6 de conclusies benoemd zijn.<br />
3
2 OPDRACHT EN ONDERZOEK<br />
In dit ho<strong>of</strong>dstuk wordt<br />
afgebakend wat de opdracht is<br />
en welk onderzoek daarbij<br />
wordt uitgevoerd. Er wordt<br />
ingegaan op de probleem- en<br />
doelstelling van het onderzoek<br />
(2.1), de onderzoeksaanpak en<br />
de onderzoeksvragen (2.2). In<br />
paragraaf 2.3 wordt tenslotte<br />
de aanpak toegelicht.<br />
Ho<strong>of</strong>dstuk 1<br />
Inleiding<br />
Ho<strong>of</strong>dstuk 2<br />
Opdracht en<br />
onderzoek<br />
2.1 Probleem- en doelstelling<br />
Ho<strong>of</strong>dstuk 3<br />
Literatuuronderzoek<br />
Ho<strong>of</strong>dstuk 4<br />
Methodologie<br />
Ho<strong>of</strong>dstuk 5<br />
Onderzoeksresultaten<br />
Ho<strong>of</strong>dstuk 6<br />
Conclusies<br />
2.1.1 Probleemstelling<br />
Naar aanleiding van de in de inleiding genoemde ontwikkelingen, dringt de vraag zich op<br />
hoe Provincies zich op een zo gestructureerd mogelijke manier risicomanagement eigen<br />
kunnen maken. Centraal daarbij staat niet alleen het ontwikkelen van<br />
risicomanagementbeleid, maar met name het beschikken over raamwerk om haar<br />
processen, activiteiten te managen, zodat deze aansluiten bij de vastgestelde<br />
doelstellingen. De tot dusver ontwikkelde raamwerken hebben met name betrekking op<br />
private organisaties. Voor Provincies verschilt de (politiek-bestuurlijke) context echter<br />
wezenlijk van dat van private organisaties. Een sectorspecifiek instrument van<br />
risicomanagement <strong>voor</strong> provincies ontbreekt. De probleemstelling luidt dan ook:<br />
Voor de toepassing van risicomanagement bij Provincies is geen geschikt raamwerk<br />
<strong>voor</strong>handen.<br />
Het risicoraamwerk is het kader dat er<strong>voor</strong> moet zorgen dat risicomanagementprocessen<br />
zijn ingebed in de managementstructuur en besluitvormingsprocessen van de organisatie<br />
en dat ze worden aangestuurd vanuit een duidelijke visie en beleid op de functie van<br />
risicomanagement <strong>voor</strong> de organisatie.<br />
Met de toepassing worden bedoeld alle benodigde activiteiten, om de routinematige<br />
toepassing van risicomanagement binnen een organisatie te waarborgen.<br />
2.1.2 Doelstelling<br />
Met de doelstelling van het afstudeeronderzoek wordt bedoeld het doel dat beoogd is met<br />
het bereiken van de resultaten van het onderzoek. De doelstelling van het<br />
afstudeeronderzoek is:<br />
Inzicht krijgen in de geschiktheid van ISO-31000 als instrument <strong>voor</strong> de toepassing van<br />
risicomanagement bij de Provinciale overheid.<br />
5
2.2 Onderzoeksopzet<br />
Het onderzoek is erop gericht om inzicht te krijgen in kritische succesfactoren <strong>voor</strong> een<br />
raamwerk, geschikt <strong>voor</strong> toepassing van risicomanagement bij de Provincies. Dit proces<br />
wordt hieronder uitgewerkt in een onderzoeksmodel, waarna vervolgens het model wordt<br />
gesplitst in onderzoeksvragen. Een uitgebreide opzet en verantwoording van het<br />
methodisch onderzoek is opgenomen in ho<strong>of</strong>dstuk 4 van deze rapportage.<br />
2.2.1 Onderzoeksmodel<br />
Om vanuit bovengeschetst kader uiteindelijk de onderzoeksvragen te kunnen<br />
beantwoorden, wordt in onderstaand onderzoeksmodel, volgens methode van Verschuren<br />
en Dodewaard [2007], verband gelegd tussen de verschillende onderzoeksstappen.<br />
Theorie<br />
openbaar<br />
bestuur<br />
Gesprekken<br />
deskundigen<br />
Documentonderzoek<br />
Provincies<br />
Wet- en<br />
regelgeving<br />
Provincies<br />
Literatuur<br />
risicomanagement<br />
Literatuur<br />
Public<br />
Governance<br />
Legenda:<br />
(A) (B) (C) (D) (E)<br />
(A) De bestudering van verschillende theorieën (openbaar bestuur, risicomanagement,<br />
risicomanagementinstrumenten, management control, e.a.), onderzoeken, strategische<br />
beleidsdocumenten (o.a. programmabegroting, paragraaf weerstandsvermogen),<br />
bestudering van het Besluit Begroting en Verantwoording van Provincies en Gemeenten<br />
(BBV) en gesprekken met deskundigen (<strong>voor</strong>onderzoek) levert uiteindelijk (B) een<br />
uitdieping op van bestaande risicomanagement-raamwerken en meer specifiek ISO-<br />
31000. Het levert vervolgens op basis van de ISO-31000 richtlijn, beoordelingscriteria op<br />
(C) waarmee de toepassing van risicomanagement bij Provincies kan worden getoetst<br />
(D). Beoordeling van deze criteria bij Provincies (interviews en vragenlijsten) levert<br />
onderzoeksresultaten en conclusies op <strong>voor</strong> de geschiktheid van ISO-31000 als instrument<br />
<strong>voor</strong> risicomanagement bij Provincies (E).<br />
Criteria<br />
risic<strong>of</strong>rame-<br />
work op basis<br />
ISO<br />
Toetsing<br />
criteria<br />
experts<br />
Criteria<br />
middels<br />
Interviews<br />
Criteria<br />
middels<br />
enquête<br />
Onderzoeks<br />
resultaten<br />
Conclusies<br />
praktijkonderzoek literatuuronderzoek analyse<br />
6
2.2.2 Onderzoekstype<br />
Het type onderzoek laat zich het beste beschrijven als een praktijkgericht onderzoek. Met<br />
het onderzoek wordt immers beoogd een bijdrage te leveren aan een toepassing van een<br />
instrument <strong>voor</strong> risicomanagement bij Provincies. De uiteindelijke beantwoording van de<br />
(deel)vragen gebeurt op basis van een probleemanalytisch onderzoek. Vanwege de<br />
politiek-bestuurlijke belangen en context van de provinciale organisatie is bewust gekozen<br />
<strong>voor</strong> een probleemverkennende analyse en niet <strong>voor</strong> een ontwerp- en/<strong>of</strong> interventiegericht<br />
onderzoek.<br />
2.2.3 Centrale vraagstelling<br />
In deze paragraaf wordt de doelstelling vertaald in een drietal centrale onderzoeksvragen,<br />
met behulp van een splitsing van het onderzoeksmodel. Hierbij worden de centrale<br />
onderzoeksvragen gekoppeld aan een gesplitst onderzoeksmodel en onderverdeeld in<br />
deelvragen.<br />
De eerste centrale vraag heeft betrekking op onderzoeksstap (A) en (B), zoals benoemd in<br />
paragraaf 2.2.1. en betreft de bronnen van de beoordelingscriteria, waarmee de<br />
toepassing van het bestaand risicomanagement kan worden beoordeeld.<br />
1. Welke kritische factoren over toepassing van risicomanagement zijn te onderkennen na<br />
bestudering van de literatuur hierover?<br />
1.1. Wat is een risico?<br />
1.2. Wat is risicomanagement?<br />
1.3. Welke uitgangspunten hanteert ISO-31000 als instrument <strong>voor</strong> risicomanagement?<br />
De tweede centrale vraag is gebaseerd op onderzoeksstap (C).<br />
2. Welke criteria dienen te worden gehanteerd <strong>voor</strong> een succesvolle toepassing van<br />
risicomanagement bij de Provinciale overheid?<br />
2.1. Welke invloed heeft de Provinciale politiek/bestuurlijke context op<br />
risicomanagement?<br />
2.2. Wat is de risicoagenda van Provincies?<br />
2.3. Welke criteria <strong>voor</strong> risicomanagement sluiten het beste aan bij de Provinciale<br />
overheid?<br />
De derde en laatste centrale vraag is gebaseerd op onderzoeksstap (D) en (E). Waarbij de<br />
criteria <strong>voor</strong> toepassing van risicomanagement worden beoordeeld bij provincies.<br />
3. Is ISO-31000 geschikt als instrument <strong>voor</strong> de toepassing van risicomanagement bij<br />
Provincies?<br />
7
3.1. Welke conclusies kunnen worden getrokken op basis van de beoordeling van de<br />
criteria aan bestaand risicomanagement bij Provincies?<br />
In onderstaande tabel staat vermeld in welke ho<strong>of</strong>dstukken de centrale vragen worden<br />
beantwoord:<br />
Tabel 1. beantwoording van centrale vragen:<br />
Centrale vraag Beantwoord in ho<strong>of</strong>dstuk<br />
1 Kritische succesfactoren risicomanagement 3 Literatuuronderzoek<br />
2 Criteria risicomanagement Provincies 5 Resultaten van onderzoek<br />
3 Conclusies 6 Conclusies<br />
8
3 Literatuuronderzoek<br />
De opzet van dit ho<strong>of</strong>dstuk is<br />
drieledig. Enerzijds worden de in<br />
dit onderzoek te hanteren<br />
begrippen afgebakend en<br />
gedefinieerd (3.1 t/m 3.3).<br />
Vervolgens wordt literatuuronderzoek<br />
verricht naar<br />
raamwerken, die worden<br />
Ho<strong>of</strong>dstuk 1<br />
Inleiding<br />
Ho<strong>of</strong>dstuk 2<br />
Opdracht en<br />
onderzoek<br />
Ho<strong>of</strong>dstuk 3<br />
Literatuuronderzoek<br />
Ho<strong>of</strong>dstuk 4<br />
Methodologie<br />
Ho<strong>of</strong>dstuk 5<br />
Onderzoeksresultaten<br />
Ho<strong>of</strong>dstuk 6<br />
Conclusies<br />
gehanteerd <strong>voor</strong> het managen van risico’s (3.4 en 3.5). Het derde deel tenslotte bestaat uit de<br />
studie naar de (invloeden van de) risicoagenda bij Provincies (3.6 en 3.7). In paragraaf 3.8<br />
tenslotte worden de begrippen geoperationaliseerd.<br />
3.1 Inleiding<br />
Het vakgebied van risicomanagement staat de afgelopen decennia volop in de<br />
belangstelling, de aandacht <strong>voor</strong> risico’s is explosief toegenomen [Wetenschappelijke Raad<br />
<strong>voor</strong> Regeringsbeleid, 2008]. Meest recent is er aandacht <strong>voor</strong> risicomanagement vanwege<br />
de economische crisis. Onderzoek onder bedrijven van financiële dienstverlening toont aan<br />
dat zeventig procent van executives in de financiële dienstverlening vindt dat de verliezen<br />
die zijn gemaakt in de kredietcrisis <strong>voor</strong>namelijk te wijten zijn aan onvoldoende aandacht<br />
<strong>voor</strong> verschillende factoren rond risicomanagement. In hetzelfde onderzoek geeft 60<br />
procent van de respondenten aan dat de kredietcrisis aanleiding is om de activiteiten op<br />
het gebied van risicomanagement kritisch te bekijken [Economist Intelligence Unit, 2008].<br />
<strong>Risicomanagement</strong> is niet een nieuw fenomeen. In iedere organisatie zijn immers al<br />
procedures, maatregelen, (ISO) richtlijnen en controles aanwezig die tot doel hebben om<br />
risico’s te managen en te beheersen. Bekende beheerssystemen zijn onder meer de<br />
administratieve organisatie, interne controles, milieu- en kwaliteitsmanagement (ISO-<br />
14001 en ISO-9001). Er kan worden gesteld dat iedere organisatie reeds aan<br />
risicomanagement doet [Paape, 2005].<br />
3.2 Risico<br />
Om vast te stellen wat onder risicomanagement moet worden verstaan is het van belang<br />
eerst vast te stellen wat een risico is. Risico is geen eenduidig begrip. Er zijn meer<br />
definities van het begrip risico gangbaar. Vier van deze definities zijn [International risk<br />
governance council , 2005] een overzicht van de meest gehanteerde terminologieën:<br />
1. risico is de kans op een ongewenste gebeurtenis bij een proces <strong>of</strong> object;<br />
2. risico is kans x gevolg;<br />
3. risico is de onzekerheid (kans) dat een gebeurtenis zich <strong>voor</strong>doet waarbij zowel<br />
positieve als negatieve effecten kunnen optreden;<br />
4. risico is de kans op een gebeurtenis, die de doelstelling kan beïnvloeden.<br />
9
De eerste definitie is <strong>voor</strong> het algemene geval niet goed bruikbaar. De risico’s die<br />
betrekking hebben op kleine kansen met zeer grote gevolgen <strong>of</strong> grote kansen met kleine<br />
gevolgen, zullen bij gebruik van de eerste definitie niet goed tot uitdrukking komen.<br />
De tweede definitie geeft een betere basis <strong>voor</strong> vergelijking van risico’s. het betreft de<br />
meest gangbare definitie, waarbij de kans op een bepaalde gebeurtenis wordt<br />
gecombineerd met de gevolgen daarvan in de veelgebruikte formule ‘risico = kans x<br />
gevolg’. In feite wordt een verwachtingswaarde van het gevolg van een proces bepaald.<br />
In sommige gevallen komt dit overeen met het verlies dat mogelijk op de lange termijn<br />
optreedt. De kans op een ongewenste gebeurtenis en het gevolg van deze gebeurtenis<br />
spelen een even belangrijke rol in deze definitie.<br />
De derde definitie zet risico neer als een neutraal begrip (kansen en bedreigingen). In feite<br />
zijn de eerste twee definities bijzondere vormen van de derde. Het biedt de mogelijkheid<br />
om aan het gevolg van een ongewenste gebeurtenis een gewicht toe te kennen, dat<br />
afhankelijk is van de ernst van het gevolg. Deze effecten kunnen beleidsmatig-,<br />
organisatorisch, politiek/bestuurlijk en/<strong>of</strong> financieel van aard zijn.<br />
De vierde definitie tenslotte is de meest algemene van de vier genoemde, waarbij<br />
aansluiting wordt gezocht bij het omgaan van onzekerheden die zowel positieve als<br />
negatieve effecten kunnen hebben op de resultaten en daarmee doelstellingen van een<br />
organisatie. Voor een organisatie zijn risico’s alle potentiële gebeurtenissen die het<br />
behalen van de doelstellingen van de organisatie kunnen bevorderen dan wel kunnen<br />
belemmeren. Deze definitie sluit het meest aan bij de definitie van ‘risico’, volgens ISO<br />
31000: “Het effect van onzekerheid op doelstellingen’.<br />
De in dit onderzoek gehanteerde definitie <strong>voor</strong> risico is dan ook als volgt gedefinieerd:<br />
Risico is de onzekerheid dat een gebeurtenis zich <strong>voor</strong>doet waarbij zowel positieve als<br />
negatieve effecten kunnen optreden, die van invloed zijn op het doelbereik.<br />
3.3 <strong>Risicomanagement</strong><br />
Over het begrip risicomanagement circuleren in de wetenschappelijke literatuur talrijke<br />
definities. Het International Risk Governance Council geeft in haar publicatie [2005] een<br />
overzicht van de meest gehanteerde terminologieën.<br />
De meest gangbare definities van risicomanagement kunnen als volgt worden<br />
onderverdeeld:<br />
1. <strong>Risicomanagement</strong> is het geheel van activiteiten en maatregelen gericht op het<br />
omgaan met en beheersen van risico’s.<br />
10
2. <strong>Risicomanagement</strong> omvat de gecoördineerde activiteiten om een organisatie te kunnen<br />
sturen en controleren met betrekking tot risico´s.<br />
3. <strong>Risicomanagement</strong> is het vormgeven van een gestructureerd proces van identificeren,<br />
analyseren, managen en rapporteren van risico’s op alle niveaus in de organisatie.<br />
4. <strong>Risicomanagement</strong> is een proces dat bewerkstelligd wordt door het bestuur van de<br />
onderneming, het management en ander personeel en wordt toegepast bij het<br />
formuleren van de strategie en binnen de gehele onderneming, ontworpen om<br />
potentiële gebeurtenissen die invloed kunnen hebben op de onderneming te<br />
identificeren en om risico´s te beheren zodat deze binnen de risicoacceptatiegraad<br />
vallen, om een redelijke zekerheid te bieden ten aanzien van het behalen van de<br />
ondernemingsdoelstellingen.<br />
5. <strong>Risicomanagement</strong> omvat de cultuur, processen en structuren, gekoppeld aan een het<br />
realiseren van kansen en het effectief management van de effecten daarvan.<br />
De eerste drie definities richten zich in min <strong>of</strong> meer dezelfde terminologie op de te<br />
doorlopen basisstappen van het risicomanagementproces. In de traditionele<br />
risicobenadering worden twee fasen onderscheiden: het identificeren en beoordelen van<br />
risico’s (risicoassesment) en het nemen van maatregelen die niet acceptabel geachte<br />
risico’s beperken <strong>of</strong> beheersbaar maken (risicomanagement) [Wetenschappelijke Raad<br />
<strong>voor</strong> het Regeringsbeleid, 2008].<br />
Ongeacht de exacte uitwerking en invulling van de verschillende stappen komt overal<br />
hetzelfde grondpatroon van vier stappen naar voren. De eerste stap is het identificeren<br />
van risico’s, waarbij het zaak is een zo volledig mogelijk beeld te krijgen van de<br />
verschillende risico’s binnen een organisatie. Wanneer de risico’s bekend zijn, is het zaak<br />
deze te beoordelen. Dit schept duidelijkheid over de vraag welke risico’s de grootste<br />
bedreiging vormen en waar<strong>voor</strong> het eerst beheersmaatregelen genomen moeten worden.<br />
Vervolgens ontwerpt men tijdens de volgende fase, aan de hand van de prioriteiten,<br />
beheersmaatregelen. Ook de implementatie van beheersmaatregelen behoort tot deze<br />
fase. De laatste stap is het rapporteren over de risico’s en beheersmaatregelen en de<br />
evaluatie van de laatste. Om de risico’s zo klein mogelijk te houden <strong>of</strong> de gevolgen zo<br />
goed mogelijk op te kunnen vangen, is continue aandacht <strong>voor</strong> alle vier de stappen<br />
noodzakelijk. Hierbij is het van belang om zowel naar het te verwachten gevolg van een<br />
risico te kijken als naar de kans dat het zich <strong>voor</strong>doet, alsmede naar de kosten (in tijd,<br />
geld en middelen) van het nemen van beheersmaatregelen.<br />
De vierde definitie omvat een expliciete koppeling naar het doelbereik en is afkomstig van<br />
het COSO. Het is echter een zeer uitgebreide definitie. “Why not adopt a definition that is<br />
11
ief and easily remembered?” [Knight, 2008]. Volgens Knight staat niet zozeer het<br />
gebruik van een juiste definitie centraal. Succesvol risicomanagement is alleen dan<br />
mogelijk, wanneer dit is gekoppeld aan het bereiken en managen van doelstellingen.<br />
De vijfde definitie (Australian/New Zealand Risk Standard 4360) toont aan dat niet alleen<br />
de te doorlopen stappen van belang zijn, maar dat de (aanwezigheid) van cultuur- en<br />
structuuraspecten van groot belang is, <strong>voor</strong> een succesvol risicomanagement binnen een<br />
organisatie. Daarnaast maakt de definitie duidelijk dat risicomanagement pas effectief<br />
werken als het een integraal onderdeel is van processen in een organisatie.<br />
De definitie <strong>voor</strong> risicomanagement, zoals gehanteerd in dit onderzoek is ontleend aan de<br />
definitie <strong>voor</strong> kwaliteitsmanagement uit ISO-9000 [Bergenhenegouwen, 2003] en<br />
aangevuld met de koppeling naar doelbereik.<br />
<strong>Risicomanagement</strong> omvat de gecoördineerde activiteiten, gekoppeld aan een effectief<br />
management van gebeurtenissen en de effecten daarvan op de doelstellingen van de<br />
organisatie.<br />
3.4 Risicoraamwerk<br />
Met de inwerkingtreding van de Foreign Corrupt Practices Act in 1997 in de Verenigde<br />
Staten, is de ontwikkeling van interne beheersing in een stroomversnelling geraakt<br />
[Santen, 2006]. Deze wet bepaalt dat het illegaal is om een inadequaat intern<br />
beheersingsysteem te voeren. De vele financiële (boekhoud- en rapporterings-)<br />
schandalen die volgden, zorgden <strong>voor</strong> de verdere ontwikkeling van risicomanagement. Het<br />
heeft geleid tot de corporate governancestructuren, zoals de Sarbanes Oxley wetgeving uit<br />
de Verenigde Staten.<br />
Ook Europa en ons eigen land zijn niet vrij van de nodige missers en schandalen<br />
(Worldonline, Ahold, Qwest, ESF/Arbeids<strong>voor</strong>ziening, de bouwfraude, de Hogescholen<br />
fraude enzo<strong>voor</strong>t). Mede daarom zijn in Europa en in Nederland diverse wetgevende<br />
initiatieven ontplooid [Herwaarden, 2003]:<br />
de International Financial Reporting Standards (IFRS) die vanaf 2005 verplicht moeten<br />
worden toegepast in de geconsolideerde jaarrekeningen van beursgenoteerde<br />
vennootschappen in Europa;<br />
aanbevelingen van de commissie-Peters inzake corporate governance, goed<br />
ondernemingsbestuur en -toezicht (1997) met het bijbehorende evaluatierapport<br />
(2002) over vijf jaar corporate governance in Nederland inzake de status van de<br />
aanbevelingen van de commissie-Peters;<br />
12
corporate governance code <strong>voor</strong> Nederland, opgesteld door de commissie onder leiding<br />
van Morris Tabaksblat [Code Tabaksblat, 2003].<br />
In de code Tabaksblat zijn de belangrijkste uitgangspunten van een goede corporate<br />
governace uitgewerkt met betrekking tot het bestuur, de raad van commissarissen, de<br />
aandeelhouder en de accountant. De code gaat wat betreft reikwijdte verder dan<br />
Sarbanes-Oxley (PwC 2005). In de code wordt gesteld dat als onderdeel van het interne<br />
beheersings- en controlesysteem, een vennootschap onder meer risicoanalyses uit dient te<br />
voeren van de ‘operationele’ en financieel doelstellingen. De code geeft echter geen<br />
nadere richtlijnen ten aanzien van de inrichting van de interne beheersings- en<br />
controlesystemen. Daarnaast worden de ondernemingen vrij gelaten in de wijze van<br />
rapporteren over de gehanteerde risicobeheersings- en controlesystemen (PwC, 2005). De<br />
code is overigens alleen van toepassing op statutair in Nederland gevestigde en aan de<br />
Euronext genoteerde ondernemingen, dat wil zeggen op circa 0,2 % van de in Nederland<br />
gevestigde ondernemingen van toepassing [Santen e.a.; 2006].<br />
De vraag lijkt gerechtvaardigd <strong>of</strong> wettelijke verankering van eisen ten aanzien van<br />
risicomanagement de oplossing is [PwC, 2005]. Het gevaar schuilt erin dat<br />
risicomanagement wordt ervaren als een verplichte managementtool, met als uiteindelijke<br />
doel: het hebben voldaan aan wet- en regelgeving. In de loop der jaren zijn er <strong>voor</strong> het<br />
managen van risico’s verschillende modellen gebruikt. “In seeking help, you’ll find an<br />
abundance <strong>of</strong> risk management frameworks, (..) developed by consulting organizations,<br />
national standards (..).[Rasmussen, 2007].<br />
In 1992 werd er in de Verenigde Staten een framework gepresenteerd <strong>voor</strong> interne<br />
beheersing. Dit framework: ‘Committee <strong>of</strong> Sponsoring Organizations <strong>of</strong> the Treadway<br />
Commission’ (COSO) richt zich in eerste instantie op de interne beheersing van de<br />
financiële processen van een onderneming. Kanttekening bij dit model is dat er weinig<br />
aandacht is gegeven <strong>voor</strong> gedragsverandering [Santen e.a., 2006; Faber, 2006], dat het<br />
niet <strong>voor</strong>ziet in een eenduidig normenkader (Faber, 2006) en dat een eenduidige<br />
stappenplan ontbreekt <strong>voor</strong> de implementatie van risicomanagement binnen een<br />
organisatie [Faber, 2006].<br />
Eind 2004 is er een nieuwe versie van het COSO raamwerk gepubliceerd [COSO, 2004], te<br />
weten Enterprise Risk Management-Integrated Framework (COSO-ERM) waarbij de nadruk<br />
meer is komen te liggen bij risicomanagement ten opzichte van de eerste versie van het<br />
COSO raamwerk en de explicietere koppeling naar strategie <strong>voor</strong> de inrichting van<br />
risicomanagement en interne beheersingsystemen.<br />
13
Feyter [2006] plaatst als kanttekening bij het herziene COSO-model dat de principes niet<br />
rechtstreeks aansluiten op de reguliere ‘planning & control’-cyclus waaraan de interne<br />
beheersing in het Nederlandse ondernemingen doorgaans wordt opgehangen. Juist deze<br />
verankering van interne beheersing en risicomanagement aan deze cyclus maakt dat<br />
risicobeheersing blijvend onder de aandacht wordt gehouden en dat het een natuurlijk,<br />
onderhoudbaar en herkenbaar proces wordt.<br />
Een ander nadeel dat in de literatuur wordt genoemd [Feyter, 2006], is dat COSO toch nog<br />
<strong>voor</strong>al lijkt uit te gaan van centraal geleide, ‘topdown’ gestuurde organisaties. Dat is<br />
enigszins begrijpelijk omdat het een Amerikaanse publicatie is. Maar <strong>voor</strong> Nederlandse<br />
organisaties is dit gegeven wel iets om rekening mee te houden wanneer zij de principes<br />
naar hun eigen organisatie vertalen, zeker als deze niet, zoals veel Amerikaanse<br />
bedrijven, topdown wordt aangestuurd. De strategie, organisatiecultuur en de keuze van<br />
besturingsprincipes bepalen immers in grote mate de wijze waarop de interne beheersing<br />
wordt ingericht. Het typeren van de strategie en de besturingsprincipes wordt regelmatig<br />
vergeten <strong>of</strong> onderbelicht bij het vastleggen, begrijpen en beoordelen van de interne<br />
beheersing.<br />
COSO erkent de invloed van organisatiecultuur op de effectiviteit van het raamwerk en<br />
daarmee van risicomanagement. Als belangrijkste kanttekening benoemt de organisatie de<br />
menselijke oordeelsvorming bij het nemen van onvolledige <strong>of</strong> onjuiste beslissingen. Een<br />
andere beperking is het kunnen omzeilen van beheersmaatregelen door samenspanning<br />
van twee <strong>of</strong> meer mensen, waardoor het management de mogelijkheid heeft om<br />
beslissingen, genomen in het kader van risicomanagement, terzijde te schuiven (Coso<br />
2004).<br />
De aanleiding <strong>voor</strong> organisaties om risicomanagement vorm te geven verschilt sterk en is<br />
bepalend <strong>voor</strong> de effectiviteit ervan. Volgens Knight houdt COSO hier onvoldoende<br />
rekening mee: “COSO slips into the fatal fallacy <strong>of</strong> trying to tell us ‘how’ to do it rather<br />
than ‘why’ “[Knight, 2008].<br />
In de praktijk blijkt het vaak moeilijk om organisaties duurzaam enthousiast te maken<br />
<strong>voor</strong> het onderwerp risicomanagement en interne beheersing als zodanig, laat staan om<br />
daarbij expliciet het COSO-raamwerk te hanteren [Faber, 2006]. Dit gebrek aan<br />
enthousiasme wordt vaak veroorzaakt door het hardnekkige misverstand dat<br />
risicomanagement en interne beheersingssystemen het goed functioneren en het<br />
aanpassingsvermogen van organisaties eerder belemmeren dan bevorderen.<br />
14
Volgens Ali Samad-Khan [2005] geeft COSO een gesimplificeerd beeld van de<br />
werkelijkheid, dat kan leiden tot een logge controlstructuur, met een grote kans dat<br />
gebieden worden ontzien, waar juist de grootste risico’s zich kunnen <strong>voor</strong>doen. Hij is<br />
stellig ten aanzien van de tekortkomingen van COSO: “Coso not only fails to help a firm<br />
asses its risks, it actually obfuscates the risk management process”.<br />
Ondanks genoemde kanttekeningen, wordt COSO internationaal nog steeds gezien als hét<br />
raamwerk <strong>voor</strong> interne beheersing. Ook Tabaksblat [2003] noemt in de code het COSO<br />
raamwerk <strong>voor</strong> interne beheersing, als <strong>voor</strong>beeld <strong>voor</strong> een te gebruiken normenkader om<br />
te voldoen aan de eis dat het bestuur verklaart dat de interne risicobeheersings- en<br />
controlesystemen adequaat en effectief zijn.<br />
Voor de integrale benadering van risicomanagement dreigt een wildgroei aan verschillende<br />
systemen en richtlijnen [Hortensius, 2007]. Naast COSO zijn er ook nog andere<br />
risicoraamwerken ontwikkeld, waarvan de standaard vaak haar oorsprong heeft binnen<br />
een bepaalde branche <strong>of</strong> bepaald land (Paape, 2005). Zo is er de Australian/New Zealand<br />
Risk Management Standard 4360 waarvan reeds in 1995 de eerste versie werd uitgegeven<br />
door de Council <strong>of</strong> Standards van beide landen. In 1999 en in 2004 verscheen een<br />
geactualiseerde versie van deze standaard. Voorbeelden van branchespecifieke<br />
risicomanagement-standaarden zijn Bazel IT <strong>voor</strong> het bankwezen en Solvency II <strong>voor</strong> de<br />
verzekeringsbranche.<br />
3.5 ISO-31000<br />
Ook de Internationale Organisatie <strong>voor</strong> Standaardisatie (ISO) heeft van zich laten horen<br />
op het terrein van risicomanagement: in 2002 verscheen een richtlijn <strong>voor</strong> het gebruik van<br />
risicomanagementtermen in standaarden [ISO/TEC Guide 73]. ISO is een non-<br />
gouvernementeel netwerk van nationale standaardisatieorganisaties, waar instituten uit<br />
157 landen (onder wie ook het Nederlands Normalisatie-instituut NEN) bij zijn<br />
aangesloten. ISO is opgericht in 1947, met als doel om normen vast te stellen en om<br />
organisaties <strong>voor</strong>deel te laten halen uit het toepassen van internationale normen en uit de<br />
implementatie van kwaliteitsmanagement-systemen [Schoutrop, 2006]. ISO heeft<br />
inmiddels 17000 standaarden ontwikkeld, ieder jaar worden 1100 nieuwe gepubliceerd<br />
[ISO.org, november 2008]. De standaarden kunnen worden toegepast <strong>voor</strong> elke<br />
organisatie.<br />
15
Het publiceren van een ISO-richtlijn <strong>voor</strong> het gebruik van risicomanagementtermen in<br />
standaarden kent zijn oorsprong in 1995. In dat jaar confronteerde de aardbeving Japan<br />
met het belang van het inschatten van risico’s en het treffen van maatregelen om effecten<br />
van onverwachte gebeurtenissen te minimaliseren. Daarom pleitten de Japanse<br />
autoriteiten tien jaar geleden <strong>voor</strong> een universele norm <strong>voor</strong> risicomanagement, te<br />
ontwikkelen door ISO. Uit angst bij het bedrijfsleven <strong>voor</strong> een nieuwe golf van<br />
certificering, werd gekozen <strong>voor</strong> een ‘veilige’ oplossing, namelijk de ontwikkeling van een<br />
Guide met termen en definities op het gebied van risicomanagement. Dat werd uiteindelijk<br />
ISO/IEC ´Guide 73, Riskmanagement – Vocabulary–Guidelines for use in standards`, die<br />
in 2002 werd gepubliceerd. De titel geeft al aan dat de Guide <strong>voor</strong>al bedoeld was om<br />
harmonisatie te bevorderen binnen het bouwwerk van ISO-normen. Een uniform<br />
taalgebruik helpt dan al om vanuit die specifieke normen en richtlijnen een meer integrale<br />
kijk op risico ’s te ontwikkelen.<br />
In 2005 slaagde Japan er met de hulp van Australië toch in de geesten rijp te maken <strong>voor</strong><br />
een algemene richtlijn <strong>voor</strong> risicomanagement. Door ISO is in 2005 besloten een<br />
internationale generieke ISO-richtlijn <strong>voor</strong> <strong>Risicomanagement</strong> te ontwikkelen: ISO 31000<br />
“Risk management - Guidelines for principles and implementation <strong>of</strong> risk management.”<br />
ISO 31000 beoogt een gemeenschappelijk begrippenkader en generiek raamwerk te<br />
bieden <strong>voor</strong> het managen van allerlei typen risico’s. Naderhand is ook de herziening van<br />
ISO Guide 73 “Risk Management – Vocabulary” aan de ISO-werkgroep toevertrouwd.<br />
Via NEN, het Nederlandse lid van ISO, wordt door Nederlandse belanghebbende partijen<br />
deelgenomen aan dit ISO-project. Hiertoe is in 2006 de normcommissie<br />
<strong>Risicomanagement</strong> opgericht. De doelstelling van de normcommissie is tweeledig (NEN,<br />
2008). Enerzijds verzorgt en bepaalt de normcommissie de Nederlandse inbreng bij de<br />
internationale normalisatie op het gebied van <strong>Risicomanagement</strong> (Risk Management),<br />
zoals die plaatsvindt in de internationale werkgroep ISO/TMB/WG/RM. Anderzijds<br />
faciliteren de normcommissie de implementatie en toepassing van de generieke ISO-<br />
richtlijn op nationaal en bedrijfstakniveau, zo nodig door het ontwikkelen van specifieke<br />
richtlijnen die een nadere invulling geven van het generieke ISO-kader <strong>voor</strong><br />
risicomanagement [NEN, 2008]. Zie <strong>voor</strong> een toelichting op de Nederlandse<br />
Normcommissie Nederland ook bijlage 3.<br />
Een ISO-richtlijn als overkoepelend raamwerk <strong>voor</strong> risicomanagement lijkt <strong>voor</strong> de hand te<br />
liggen. De verschillende afzonderlijke ISO-normen <strong>voor</strong> managementsystemen, zoals ISO<br />
9001 en ISO 14001, beschrijven immers al systemen <strong>voor</strong> het beheersen van maatregelen<br />
16
en risico’s, waarbij de eerder genoemde stappen uit de risicomanagementcyclus (risico-<br />
identificatie, risico-analyse, monitoring risico’s en bijsturen) moeten worden doorlopen.<br />
Het managementsysteem zoals beschreven in de verschillende normen zijn in de kern<br />
risicomanagementsystemen <strong>voor</strong> specifieke risico’s, zoals kwaliteits- en milieurisico’s.<br />
Deze normen <strong>voor</strong> managementsystemen beschrijven wat een organisatie moet doen om<br />
de (risicoaspecten van) haar processen en activiteiten te managen zodat de resultaten en<br />
uitkomsten aansluiten bij de vastgestelde doelstellingen. Goede managementsystemen<br />
zijn gebaseerd op twee principes: de procesbenadering en de Demingcirkel (Hortensius,<br />
2003). De procesbenadering houdt in dat de bedrijfsprocessen uitgangspunt zijn <strong>voor</strong> de<br />
inrichting van het managementsysteem. De Demingcirkel [Deming, 1987] betreft de<br />
opeenvolgende fasen van een proces (Plan, Do, Check, Act) dat is gericht op het realiseren<br />
van doelen op een steeds effectievere en efficiëntere manier. Door de Demingcirkel steeds<br />
opnieuw te doorlopen, en de daarmee behaalde resultaten, kunnen managementsystemen<br />
worden verbeterd.<br />
Als managementsysteem is ISO-31000 dan ook op de Demingcirkel en op een<br />
procesbenadering gestoeld. ISO-31000 bestaat uit drie ho<strong>of</strong>donderdelen [NEN, 2008]: (1)<br />
de uitgangspunten <strong>voor</strong> risicomanagement, (2) het raamwerk <strong>voor</strong> risicomanagement en<br />
(3) het risicomanagementproces.<br />
Figuur 1. Onderlinge samenhang van de onderdelen van ISO 31000<br />
a) Het voegt waarde toe en dr aagt bij<br />
aan organ isatieverbetering<br />
b) Integraal onderdeel van<br />
(besluitvormings)processen<br />
c) Het is m aat wer k, p assend<br />
bij de organisatiecontext<br />
d) Een system atisch en op<br />
feiten gebaseerd proces<br />
e) Het is open en tran sparant en<br />
houdt rekening met<br />
menselij ke en culturele<br />
factoren<br />
Uitgangspunten<br />
Bron: Hortensius, 2008<br />
Continue<br />
verbeteren<br />
van het<br />
raamwerk<br />
Mandaat<br />
en commitment<br />
Ontwerp het raamwerk<br />
v oor risicomanagement<br />
Monitoren en<br />
analyserenv an<br />
het raamwerk<br />
<strong>Raamwerk</strong><br />
Implementeren<br />
van<br />
risicomanagement<br />
Proces<br />
17
Om als effectief instrument te kunnen dienen, gelden met betrekking tot ISO-31000 onder<br />
meer de volgende principes <strong>voor</strong> risicomanagement:<br />
1. Het voegt waarde toe en draagt bij aan organisatieverbetering<br />
2. Het is een integraal onderdeel van (besluitvormings)processen<br />
3. Het is maatwerk, passend bij de organisatiecontext<br />
4. Een systematisch en op feiten gebaseerd proces<br />
5. Het is open en transparant en houdt rekening met menselijke en culturele factoren<br />
De eerst drie kenmerken vormen de basis <strong>voor</strong> het raamwerk van risicomanagement, de<br />
laatste twee zijn <strong>voor</strong>al terug te vinden in het risicomanagementproces.<br />
In het hart van het proces, zitten de bekende stappen van het identificeren, analyseren en<br />
evalueren van risico’s, zoals deze verbonden zijn aan het proces, product, project <strong>of</strong><br />
organisatie als geheel. Die stappen vormen samen de risicobeoordeling.<br />
Ook het Nederlands Instituut <strong>voor</strong> Registeraccountants (NIVRA) geeft in haar publicatie<br />
‘Via interne beheersing naar Corporate Governance’ [2002] aan dat <strong>voor</strong> een effectieve<br />
risicobeoordeling, de organisatiedoelstellingen <strong>voor</strong> processen en activiteiten moeten<br />
worden vastgesteld en in onderlinge samenhang beoordeeld. Die beoordeling kan alleen<br />
worden uitgevoerd, als de context en scope goed zijn bepaald. Die context wordt<br />
gedeeltelijk ontleend aan het risicomanagement-raamwerk, maar <strong>voor</strong> de<br />
risicobeoordeling van een specifieke situatie kan en moet die context gedetailleerder<br />
worden bekeken. Aan een dergelijke contextbepaling worden bij<strong>voor</strong>beeld specifieke<br />
criteria ontleend om de risico’s te beoordelen. Vanuit de contextbepaling wordt ook<br />
duidelijk welke personen/afdelingen/programma’s/projecten moeten worden geconsulteerd<br />
<strong>of</strong> betrokken bij de risicobeoordeling. Op basis van de beoordeling wordt vervolgens<br />
besloten <strong>of</strong> en hoe het risico wordt behandeld.<br />
Het raamwerk dient daarbij als een kader om er<strong>voor</strong> te zorgen dat<br />
risicomanagementprocessen ingebed worden en aansluiten bij de algemene<br />
besluitvormingsprocessen van de organisatie.<br />
18
Figuur 2. <strong>Risicomanagement</strong>proces volgens ISO 31000<br />
6.2<br />
Com m unicatie en<br />
advies<br />
bron: Hortensius, 2008.<br />
6.3 Bepaal de context<br />
6.4 Risico beoordeling<br />
6.4.2 Risico identificatie<br />
6.4.3 Risico analyse<br />
6.4.4 Risico evaluatie<br />
6.5 Risicobeheersing<br />
6.6<br />
M o n ito re n<br />
en<br />
evaluatie<br />
ISO-31000 tracht een complete beschrijving te geven van de verschillende zaken die<br />
relevant zijn <strong>voor</strong> risicomanagement. Daarbij wordt niet alleen ingezoomd op het<br />
risicomanagementproces, maar ook op de context ervan, waarin mandaten worden<br />
afgegeven door opdrachtgevers en waarbij stakeholders nadrukkelijk worden betrokken bij<br />
het proces.<br />
Door het benoemen van zowel de context als het proces zelf, ontstaan twee nauw met<br />
elkaar verweven processen:<br />
(1) het opstellen, uitvoeren, monitoren en bijsturen van het risicomanagement raamwerk,<br />
als een kader om er<strong>voor</strong> te zorgen dat risicomanagementprocessen ingebed worden en<br />
aansluiten bij de algemene (besluitvormings)processen van de organisatie.<br />
(2)het opstellen, uitvoeren, monitoren en communiceren van het<br />
risicomanagementproces. Tevens worden principes van risicomanagement betrokken bij<br />
deze twee processen, die in grove lijnen dienen als sturende elementen achter de<br />
<strong>voor</strong>gaande twee processen.<br />
Belangrijke uitgangspunt is overigens dat ISO-31000 geen eisenstellende (certificeerbare)<br />
norm wordt <strong>voor</strong> een risicomanagementsysteem. Iedere organisatie <strong>of</strong> sector kan het<br />
beste zelf bepalen welke risicomanagementaanpak het beste past bij haar doelen,<br />
(markt)situatie, klanten e.d. “For this reason, the ISO 31000 is designed not to be<br />
certifiable but to focus on general principles and guidelines.”[Shortreed, 2007].<br />
Certificering heeft bovendien <strong>voor</strong> de meeste organisaties <strong>voor</strong>al een externe functie: het<br />
onafhankelijke bewijs richting klanten <strong>of</strong> andere belanghebbenden, dat er sprake is van<br />
een managementsysteem dat aan de norm voldoet [Hortensius, 2003]. Daar<strong>voor</strong> bestaat<br />
19
<strong>voor</strong>alsnog geen draagvlak onder de leden van ISO en dat was ook het standpunt van de<br />
door NEN in Nederland geconsulteerde belanghebbende partijen toen in 2005 een stem<br />
moest worden uitgebracht op het ISO-<strong>voor</strong>stel [Hortensius, 2008].<br />
In een vergelijking van COSO en ISO 31000 schetst Awad Loubani de belangrijkste<br />
verschillen tussen de 2 modellen. Concluderend kan worden gesteld dat ISO 31000 meer<br />
de ruimte biedt om een maatwerkoplossing <strong>voor</strong> risicomanagement te zijn dan COSO.<br />
[Loubani, 2008].<br />
3.6 Risicoagenda bij Provincies<br />
De strategische context van de provinciale organisatie is van groot belang om de<br />
toepasbaarheid van risicomanagement te kunnen duiden. De strategische invulling van de<br />
Provincie verschilt op een aantal onderdelen namelijk wezenlijk van die van private<br />
organisaties. Daaruit kan worden afgeleid dat strategievorming in de publieke sector extra<br />
complex is. De eigen kenmerken van strategievorming bij de overheid [Ter Braak en Van<br />
’T Spijker, 1993; Valens, 1993] zijn als volgt:<br />
1. Multi-organisatiestrategie. Een overheid met een breed takenpakket en veel<br />
organisatieonderdelen zal vaak geen strategie formuleren in termen van een missie<br />
<strong>voor</strong> één organisatie maar een multi-organisatiestrategie, dus <strong>voor</strong> meerdere<br />
onderdelen die elk eigen taken vervullen, zoals een sociale dienst, <strong>of</strong> openbare werken.<br />
2. Minder concurrentie. Door de eigenstandigheid van overheden en de beperkte<br />
mogelijkheden tot concurrentie is een strategieformuleringsproces minder op scherpe<br />
pr<strong>of</strong>ilering gericht: het generieke krijgt 'veel plaats toegemeten', het specifieke veel<br />
minder. Overheden kunnen niet zomaar zeggen dat ze bepaalde taken niet uitvoeren<br />
en zich pr<strong>of</strong>ileren op een bepaalde taak.<br />
3. Functie en soorten produkten en diensten zijn anders. Een ander verschil is dat een<br />
bedrijf handelt in een overigens meestal veel beperkter aantal produkten en diensten,<br />
maar een overheid heeft eveneens een functie bij de ontwikkeling van<br />
maatschappelijke normen en waarden en de handhaving daarvan ten aanzien van de<br />
gedragingen van burgers.<br />
4. Meer doelstellingen. Een private organisatie kan zich richten op een beperkt aantal<br />
doelstellingen en bij een overheid is dat meestal niet het geval. Een<br />
overheidsorganisatie heeft vele taken te vervullen. Bij een private organisatie is de<br />
initiële doelstelling vaak nog herkenbaar, bij een overheid ligt dit anders.<br />
5. Vage doelstellingen. In een private organisatie zijn tamelijk precieze doelstellingen te<br />
formuleren. Bij een overheid zijn doelstellingen meestal veel vager. Dit laatste wordt<br />
ten eerste veroorzaakt door de complexiteit van bepaalde problemen die een overheid<br />
20
onmogelijk zelf alleen kan oplossen; denk bij<strong>voor</strong>beeld aan<br />
gezondheidszorgvraagstukken. Een tweede oorzaak is de organisatie van de politieke<br />
democratie; politieke vertegenwoordigers van verschillende statenfracties dienen<br />
<strong>voor</strong>al compromissen te sluiten om tot een meerderheidsbesluit te komen. Een derde<br />
oorzaak is gelegen in de organisatie van het openbaar bestuur zelf, waarbij wetgeving<br />
van uitvoering gescheiden is.<br />
6. Openbaarheid. De besluitvorming in een private organisatie voltrekt zich doorgaans<br />
niet in de openbaarheid (hoewel er veelal jaarcijfers gepubliceerd worden) terwijl dat<br />
bij een overheid doorgaans wel het geval is.<br />
7. Pluriforme samenleving. In private organisaties is minder dan in de overheidssfeer<br />
sprake van de noodzaak om rekening te houden met pluriformiteit in de samenleving,<br />
zowel qua (doel)groepen van burgers als qua organisaties, die op de een <strong>of</strong> andere<br />
wijze bij beleid betrokken zijn. Ze hebben <strong>voor</strong>keuren en kunnen mee- en<br />
tegenwerken. In het openbaar bestuur is bovendien sprake van een enorme variëteit<br />
aan doelgroepen, belangengroepen en andere betrokkenen. Ook dit compliceert de<br />
strategievorming bij de overheid.<br />
8. Politieke cyclus. Een laatste argument is dat in de overheidssfeer sprake is van een<br />
politieke cyclus, de periode tussen verkiezingen, van vier jaar <strong>of</strong> korter. Daardoor<br />
bestaat er druk om <strong>voor</strong>rang te geven aan beleid dat al op korte termijn zichtbaar is <strong>of</strong><br />
vruchten afwerpt, boven het ontwikkelen van een lange termijnvisie en het 'oogsten'<br />
later dan na vier jaar. Bij private organisaties is die cyclus afwezig.<br />
Scholes en Johnson [2004] spreken van emergent strategieën, die ontstaan vanuit<br />
dagelijkse routines, activiteiten en processen in een organisatie. De auteurs zetten dit af<br />
tegen intended strategieën, een uiting van een gewenste strategische koers, nadrukkelijk<br />
geformuleerd en uitgedragen door het management van een organisatie. Bij Provincies is<br />
sprake van emergent strategievorming, omdat sprake is van veelal decentraal verlopende<br />
processen. Vanuit de verschillende beleidsvelden (bv. Ruimtelijke Ordening <strong>of</strong> Economie)<br />
wordt veelal specifieke strategie ontwikkeld, zodat ruimte is <strong>voor</strong> het inspelen op kansen<br />
die zich <strong>voor</strong>doen.<br />
Herman (2004) benoemt dat, ondanks dat risicomanagement <strong>voor</strong> non-pr<strong>of</strong>itorganisaties<br />
veelal intuïtief plaats vindt, de noodzaak <strong>voor</strong> een gestructureerde aanpak wenselijk is.<br />
De externe omgeving van de Provincie is complex en turbulent. De toekomst van de<br />
Provincie als bestuurslaag staat daarnaast ook nog ter discussie. Anticiperend op die<br />
onzekerheid, zal <strong>voor</strong>al aandacht <strong>voor</strong> een effectieve strategische aanpak van de<br />
maatschappelijke vraagstukken, zoals ze door de provinciale partners en klanten naar<br />
voren worden gebracht, het bewijs <strong>voor</strong> de toegevoegde waarde van de Provincie moeten<br />
21
leveren. Resultaat en rekenschap over de prestatie van de Provincie is daarbij van groot<br />
belang. <strong>Risicomanagement</strong> als instrument om te prioriteren en als sturingsmiddel om<br />
mensen en processen te richten op het bereiken van de (coalitie)doelstellingen wordt<br />
daarmee steeds belangrijker.<br />
De opkomst van de risicoagenda bij Provincies wordt ingegeven door vijf ontwikkelingen;<br />
1. Economische crisis<br />
De actualiteit van de economische crisis toont de kwetsbaarheid aan van (regionale)<br />
overheden. De kredietcrisis heeft drie Provincies getr<strong>of</strong>fen; Noord-Holland, Groningen en<br />
Zeeland en toont aan dat niet alleen in de financiële wereld sprake is van een toenemende<br />
behoefte aan een adequaat functionerend risicomanagement. In de loop van 2008 bleek<br />
dat gemeentelijke en provinciale overheden vele miljoenen euro's hebben uitstaan bij<br />
IJslandse banken.<br />
Bron: www.kredietcrisis.feeder.nl (17/10/8)<br />
De Provincie Noord-Holland had € 98 miljoen staan op noodlijdende banken (Landsbanki in<br />
IJsland en het Duitse Lehman Bankhaus). Een provinciale onderzoekscommissie heeft<br />
onderzoek gedaan naar het door Gedeputeerde Staten vanaf 1 april 2007 gevoerde<br />
bestuur aangaande het uitzetten van tijdelijk beschikbare financiële middelen. In haar<br />
rapport ‘Triple R; Regels, rendement en Risico 2 ’ kwam de commissie onder meer tot de<br />
conclusie dat de Provincie ten onrechte geen actief risicomanagement voerde. Als gevolg<br />
van de uitkomsten van dit onderzoek is het voltallige college van gedeputeerde staten in<br />
Noord-Holland in juni 2009 afgetreden.<br />
Hoewel de kredietcrisis kan worden beschouwd als een uitzonderlijke ontwikkeling<br />
(Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, 2008), zijn als gevolg hiervan<br />
2 Triple R, regels, Rendement en Risico’, provinciale onderzoekscommissie Noord-Holland, 29 mei 2009.<br />
22
wet- en regelgeving met betrekking tot het uitzetten van middelen door decentrale<br />
overheden in tijden van onrust op de financiële markten, opnieuw kritisch tegen het licht<br />
gehouden.<br />
Behalve de gevolgen <strong>voor</strong> de beleggingen van de Provincie raakt de economische crisis de<br />
Provincie ook op andere manieren. Op de eerste plaats kan de crisis zijn weerslag hebben<br />
op toekomstige opbrengsten van de motorrijtuigenbelasting. Daarnaast is het niet<br />
ondenkbaar dat de crisis impact heeft op de uitvoering van het in gang gezette beleid van<br />
de Provincie. De partners die bij de uitvoering van beleid betrokken zijn, kunnen wellicht<br />
moeilijker financieringsfaciliteiten aantrekken, die de uitvoering kunnen vertragen en/<strong>of</strong><br />
bemoeilijken. Daarnaast kan de toenemende onzekerheid ook leiden tot aarzeling om met<br />
de overheid gezamenlijke projecten op te starten. Door de onzekerheid over de nabije<br />
toekomst worden investeringen door ondernemingen uitgesteld <strong>of</strong> afgesteld. Banken<br />
mijden risico’s meer dan <strong>voor</strong>heen en zijn kritischer bij het verstrekken van leningen<br />
(positie private investeerders is daarbij nog een vraagpunt). Zowel de vraaguitval als de<br />
vermindering van de investeringsbereidheid leiden tot de uitstoot van arbeid. Een groot<br />
aantal Provincies heeft inmiddels een koers uitgezet, gericht op het verminderen van de<br />
conjuncturele kwetsbaarheid van de provinciale economie. Als gevolg van deze<br />
economische recessie 3 is extra overheidshandelen essentieel.<br />
2. Afroming van Rijksuitkeringen<br />
Een ander actueel thema dat het risicomanagement bij Provincies rechtvaardigt, is de<br />
mogelijke afroming van rijksuitkeringen. Het Rijk maakt zich op <strong>voor</strong> een forse besparing<br />
ten koste van de Provincies. Den Haag wacht op een rapport van zijn adviesorgaan ter<br />
zake, de Raad <strong>voor</strong> de Financiële Verhoudingen. De daadwerkelijke inkomsten van de<br />
Provincies liggen euro 600 mln tot euro 800 mln 4 boven het bedrag dat zij binnen<br />
bestaande afspraken nodig hebben <strong>voor</strong> de uitoefening van hun taken. Dit bedrag wil Den<br />
Haag afromen. Daarmee dreigen de Provincies meer dan de helft te verliezen van de<br />
uitkering die zij jaarlijks krijgen van het Rijk. Dit Provinciefonds is jaarlijks goed <strong>voor</strong> ruim<br />
euro 1,1 mrd. De twaalf Provincies krijgen samen verder euro 1,3 mrd binnen uit<br />
belastingen en half zoveel uit dividend van nutsbedrijven. Dit zijn bij elkaar de algemene<br />
middelen die Provincies <strong>voor</strong> eigen beleid mogen inzetten. Daarnaast ontvangen de<br />
Provincies nog eens ruim euro 3 mrd aan doelheffingen, EU-subsidies en specifieke<br />
uitkeringen <strong>voor</strong> taken die zij in opdracht van het Rijk uitvoeren. In tien jaar tijd zijn de<br />
algemene middelen van de Provincies verdubbeld, met name door stijging van de<br />
provinciale belastinginkomsten en dividenden. De discussie over de provinciale weelde is<br />
3 Prognose Centraal Planbureau, 17 februari 2009.<br />
4 Financieel Dagblad, 17 februari 2009.<br />
23
op scherp gezet door de verkoop van de productie- en leveringsbedrijven van hun<br />
energiebedrijven.<br />
3. Decentralisatiediscussies<br />
Het zijn roerige tijden <strong>voor</strong> de Provincies. In bestuurlijk Nederland leven vele<br />
verwachtingen, ambities, frustraties en is er zelfs gelatenheid over de Provincies. Zo<br />
speelde in 2006 de politieke discussie over de vorming van één randstadprovincie<br />
[Remkes, 2006]. Open <strong>of</strong> gesloten huishouding 5 , gemeentelijke opschaling, decentralisatie<br />
van taken met Rijk en gemeenten, discussie over de rijkdom van Provincies, enz. Tal van<br />
rapporten van commissies [Mans 6 , Oosting 7 , Lodders 8 en De Hondt 9 ] gaan in op de<br />
bestuurlijke ontwikkelingen in Nederland. Wie deze rapporten leest en op zich in laat<br />
werken, komt tot de conclusie dat de veranderingen in de komende 5-7 jaar zeer groot<br />
kunnen zijn, waarvan overheveling van taken en verantwoordelijkheden een belangrijk<br />
deel uitmaken. Flexibel in kunnen spelen op veranderingen en het tijdig beoordelen van<br />
consequenties van risico’s en kansen is daarbij van groot belang.<br />
4. Veranderde wetgeving<br />
Er zijn een aantal wetten en besluiten (besluiten bevatten regels die een uitwerking van<br />
een wet zijn) die impact hebben op het managen van risico’s bij Provincies. Door wetten<br />
en regels te stellen, worden risicovolle activiteiten van Provincie beperkt <strong>of</strong> verboden.<br />
Wet Dualisering<br />
Van de overheidsorganisaties wordt in toenemende mate gevraagd dat zij<br />
verantwoording afleggen over de vraag <strong>of</strong> zij de goede dingen (doeltreffendheid), <strong>of</strong> zij<br />
de dingen goed doen (doelmatigheid) en <strong>of</strong> zij daarbij voldoen aan wet- en regelgeving<br />
(rechtmatigheid). Dit betekent dat het, ook <strong>voor</strong> de Provincie, van groot belang is<br />
inzicht te hebben in het eigen handelen. Provinciale Staten (PS) en het College van<br />
Gedeputeerde Staten (GS) hebben ieder een eigen rol bij het verkrijgen van dit inzicht.<br />
Analoog aan de dualisering bij de gemeenten, werd daarna ook het Provinciebestuur<br />
veranderd. In maart 2003 werd de Wet Dualisering Provinciebestuur ingevoerd. De<br />
kern bij dualisering is de scheiding tussen vertegenwoordigende en bestuurlijke<br />
verantwoordelijkheden. Daarnaast schrijft de wet Dualisering Provinciebestuur dat het<br />
gevoerde beleid gecontroleerd moet worden en verplicht de Provincies daartoe een<br />
onafhankelijke rekenkamer in te voeren. De provinciale rekenkamer moet zich <strong>voor</strong>al<br />
met doelmatigheidsonderzoek bezighouden en mag alle provinciale documenten<br />
5 Een open huishouding betekent dat een Provincie alle relevante opgaven in de regio kan oppakken. Bij een gesloten<br />
huishouding, worden enkel wettelijk <strong>voor</strong>geschreven taken ingevuld.<br />
6 ‘De tijd is rijp’, commissie Mans, 10 juli 2008.<br />
7 ‘Van specifiek naar generiek’, commissie Oosting, 8 oktober 2007.<br />
8 ‘Ruimte, regie en rekenschap’, commissie Lodders, 17 maart 2008.<br />
9 ‘Vertrouwen en verantwoorden’,’ commissie D’Hondt., 4 juni 2008<br />
24
onderzoeken. De rekenkamer houdt zich bezig met onderzoek naar de doelmatigheid,<br />
doeltreffendheid en de rechtmatigheid van het gevoerde bestuur.<br />
Belangrijke verandering bij de invoering van de Wet Dualisering Provinciebestuur is dat<br />
GS hun eigen bestuur dienen te controleren. Dit is vastgelegd in artikel 217a. Het<br />
betreft het reguliere onderzoek naar doelmatigheid en doeltreffendheid van hun<br />
bestuur. Doelmatigheid heeft betrekking op de vraag <strong>of</strong> de uitvoering van beleid<br />
efficiënt heeft plaats gevonden, <strong>of</strong> met beschikbare middelen zoveel mogelijk resultaat<br />
geboekt is. De vraag die bij doeltreffendheidonderzoek gesteld moet worden: in<br />
hoeverre zijn de gewenste doelen en resultaten van beleid bereikt.<br />
Provinciewet.<br />
In de Provinciewet wordt het bestuur van de Provincies geregeld. Conform artikel 212<br />
van de Provinciewet stellen Provinciale Staten bij verordening de uitgangspunten <strong>voor</strong><br />
het financiële beleid, alsmede <strong>voor</strong> het financiële beheer en <strong>voor</strong> de inrichting van de<br />
financiële organisatie vast. De verordening waarborgt dat aan de eisen van<br />
rechtmatigheid, verantwoording en controle wordt voldaan. De wet is in 1992 herzien,<br />
houdende nieuwe bepalingen met betrekking tot Provincies.<br />
Besluit Begroting en Verantwoording gemeenten en Provincies (BBV).<br />
De Provinciewet schrijft <strong>voor</strong> dat elke Provincie jaarlijks begrotings- en<br />
verantwoordingsstukken moet opstellen. Het Besluit begroting en verantwoording<br />
Provincies en gemeenten (BBV) bevat de regelgeving daar<strong>voor</strong>.<br />
Het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BzK) heeft met de<br />
introductie van het <strong>voor</strong>schrift van een weerstandsparagraaf een pioniersrol vervuld.<br />
BZK heeft geleerd van de oppervlakkige toepassing van dat <strong>voor</strong>schrift<br />
(Comptabiliteits<strong>voor</strong>schriften 1995) in de praktijk en met het nieuwe artikel 11 in het<br />
BBV 10 de benadering aangescherpt door <strong>voor</strong> te schrijven dat de beschikbare<br />
weerstandscapaciteit en het uitstaande risico, dus de benodigde weerstandscapaciteit,<br />
moet worden berekend. Volgens het BBV 11 moet de weerstandsparagraaf tenminste de<br />
volgende elementen omvatten:<br />
a) Een inventarisatie van de weerstandscapaciteit, zijnde de middelen en<br />
mogelijkheden waarover een gemeente beschikt <strong>of</strong> kan beschikken om niet<br />
begrote kosten te dekken.<br />
b) Een inventarisatie van de risico’s, waar<strong>voor</strong> geen maatregelen zijn getr<strong>of</strong>fen en<br />
die van materiële betekenis kunnen zijn in relatie tot de financiële positie.<br />
c) Het beleid omtrent de weerstandscapaciteit en de risico’s en de realisatie<br />
daarvan.<br />
10 Besluit Begroting en verantwoording Provincies en gemeenten, 17 januari 2003.<br />
11 Besluit Begroting en verantwoording Provincies en gemeenten, 17 januari 2003, artikel 11, lid 2<br />
25
Volgens de handreiking “duale begroting” van het ministerie van Binnenlandse Zaken<br />
en Koninkrijkrelaties [BZK, 2002] zijn er <strong>voor</strong> Provincies twee methoden om met een<br />
paragraaf om te gaan:<br />
1. In de begroting worden in de paragraaf weerstandsvermogen de beleidskaders<br />
vastgesteld en vervolgens de uitvoering hiervan weergegeven;<br />
2. Vaststelling van een afzonderlijk beleidsnota <strong>voor</strong> de beleidskaders. In de paragraaf<br />
weerstandsvermogen worden de relevante ontwikkelingen, de <strong>voor</strong>tgang van de<br />
beleidsuitvoering behandeld en de vraag gesteld, <strong>of</strong> de inhoud van het beleid nog<br />
steeds van toepassing is.<br />
Het is volgens het Ministerie van BZK [2002] niet voldoende om in de paragraaf<br />
weerstandsvermogen jaarlijks de risico’s en de aanwezige capaciteit op te nemen. Het<br />
is van belang dat er ook iets met de risico’s gebeurt. Een interprovinciale benchmark<br />
van de weerstandsparagraaf [Bosman, 2008] laat zien dat de focus in genoemde<br />
paragraaf ligt op (het berekenen van) het beschrijven van financiële risico´s. Volgens<br />
Segers 12 [2008] zijn Provincies vrij om zelf invulling te geven aan de<br />
weerstandsparagraaf. Aangezien de risico’s in de risicoparagraaf niet kwantificeerbare<br />
risico’s betreffen, is het lastig om een minimumnorm <strong>voor</strong> de noodzakelijk geachte<br />
weerstandscapaciteit te bepalen.<br />
Een interprovinciale vergelijking 13 toont aan dat, vanaf de begroting <strong>voor</strong> het jaar<br />
2005, de Provincies in toenemende mate over gegaan zijn tot het in kwantitatieve<br />
grootheden afzetten van de weerstandscapaciteit tegen de gesignaleerde risico’s. Bij<br />
de begroting <strong>voor</strong> 2009 hebben alle Provincies kwantitatieve gegevens over hun<br />
risico’s vermeld, waarbij zich echter verschillen in de mate van gedetailleerd <strong>voor</strong>doen<br />
(variërend van kwantitatieve aanduidingen over vrijwel alle genoemde risico’s tot<br />
gegevens over slechts enkele risico’s; soms is alleen een totaalbedrag vermeld). Als<br />
gekeken wordt naar de mate waarin de Provincies zelf conclusies trekken over hun<br />
weerstandscapaciteit in relatie tot hun risico’s, blijkt dat alle Provincies zich uitspreken<br />
over de toereikendheid van hun weerstandsvermogen. De Provincies achten hun<br />
weerstandsvermogen toereikend <strong>of</strong> (ruim) voldoende.<br />
Het BBV geeft nergens de richting <strong>voor</strong> criteria van een nota Weerstandsvermogen.<br />
Provincies dienen de risico’s en de capaciteit zelf in kaart te brengen en te beoordelen.<br />
12 William Segers, Ho<strong>of</strong>d Inspectie Financiën Lokale en provinciale Overheden, ministerie BZK, 24 juni 2008.<br />
13 De Provinciale Financiën 2009, een interprovinciale vergelijking. Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, 11<br />
mei 2009.<br />
26
Doordat de risico’s die Provincies lopen verschillen, is het niet mogelijk een algemene<br />
norm te stellen <strong>voor</strong> de omvang van de weerstandscapaciteit van een Provincie. In het<br />
BBV wordt onvoldoende uitgelegd welke informatie gepresenteerd moet worden in de<br />
paragraaf weerstandsvermogen. Dul [2007] adviseert dan ook om een aparte notitie<br />
over de paragraaf Weerstandsvermogen uit te brengen door de commissie BBV.<br />
Wet FIDO<br />
De Wet financiering decentrale overheden (FIDO) bevat instrumenten die de risico’s<br />
beperken die decentrale overheden lopen bij lenen en beleggen. De wet bevat nieuwe<br />
normen <strong>voor</strong> het beheersen van risico´s op kort- en langlopende leningen<br />
(respectievelijk de (herziene) kasgeldlimiet en de renterisiconorm). Voorts zijn de<br />
decentrale overheden verplicht een treasurystatuut op te stellen en dienen Provincies<br />
en gemeenten, door een wijziging van het Besluit comptabiliteits<strong>voor</strong>schriften 1995<br />
een treasuryparagraaf in de begroting en het jaarverslag op te nemen. Het<br />
belangrijkste uitgangspunt is het beheersen van financiële risico's. Daarom gelden er<br />
op basis van deze wet kwalitatieve rand<strong>voor</strong>waarden. Uit deze rand<strong>voor</strong>waarden komt<br />
naar voren dat bankieren (het aantrekken van gelden louter met het oogmerk om deze<br />
tegen een hoger rendement uit te zetten) verboden is. Medeoverheden moeten zich bij<br />
uitzettingen <strong>of</strong> leningen houden aan de Wet Fido. De wet FIDO is in 2000 aangescherpt<br />
naar aanleiding van de Ceteco-affaire in Zuid-Holland.<br />
Die strenge eisen die de wet Fido aan overheidsbeleggingen stelt, blijken overigens in<br />
de kredietcrisis geen garantie te hebben geboden dat uitstaand geld veilig is. De<br />
spaardeposito’s van Provincies en gemeenten bij Landsbanki en de obligaties van<br />
Lehman Brothers voldeden (net) aan de ondergrens van Fido, maar bleken niet veilig.<br />
Besluit accountantscontrole gemeenten en Provincies (BAPG).<br />
Het Besluit accountantscontrole Provincies en gemeenten (BAPG, 2004) bevat<br />
minimumeisen <strong>voor</strong> de accountantscontrole van de jaarstukken. De<br />
Provincie/gemeente kan daar bovenop eigen eisen stellen. De introductie van het<br />
dualisme is van invloed op de accountantcontrole. Sindsdien werkt de accountant<br />
nadrukkelijker in opdracht van de Staten en niet meer van het college. Zo ondersteunt<br />
hij de controlerende rol van de Staten. De accountant controleert de “getrouwheid” van<br />
de jaarstukken. Hij gaat dus na <strong>of</strong> de cijfers het juiste beeld geven.<br />
Sinds het begrotingsjaar 2004 wordt meer dan <strong>voor</strong>heen naar de “rechtmatigheid”<br />
gekeken. De accountant bekijkt <strong>of</strong> de baten en lasten en de veranderingen in de balans<br />
volgens de regels zijn verlopen, bij<strong>voor</strong>beeld <strong>of</strong> openbare werken volgens de Europese<br />
regels zijn aanbesteed. Hij toetst de (financiële) rechtmatigheid aan regels van buiten<br />
(Europa, Rijk, Provincie) en van binnen de Provincie. Afhankelijk van de uitkomst<br />
geeft de accountant een goedkeurende <strong>of</strong> een niet-goedkeurende verklaring. Ook<br />
maakt hij een rapport van bevindingen. Het BAPG bevat ook regels over wanneer de<br />
27
accountant wel <strong>of</strong> niet goedkeurt en wel <strong>of</strong> niet iets in het rapport van bevindingen<br />
opneemt. Ook hier kan de Provincie strengere regels vaststellen.<br />
5. Nederlandse code <strong>voor</strong> goed openbaar bestuur<br />
Governance richt zich op de belanghebbenden bij de organisatie, de daarmee<br />
samenhangende doelstellingen van deze organisatie, en de verantwoordelijkheid van de<br />
leiding van de organisatie om deze doelstellingen te realiseren. Er is een duidelijk<br />
onderscheid tussen corporate governance en Government Governance.<br />
Corporate governance is <strong>voor</strong>namelijk toegesneden op het bedrijfsleven: discussies<br />
betreffen de verantwoordelijkheden van de Raad van commissarissen, de Algemene<br />
vergadering van Aandeelhouders en de Raad van Bestuur, de aanwezigheid van adequate<br />
interne beheersingssystemen, het afleggen van verantwoording en de rol en functie van<br />
de accountant. De kern van de theorie is dat belanghebbenden binnen en buiten de<br />
organisatie zijn gebaat bij een goede interne beheersing en een goede verantwoording<br />
daarover.<br />
Government governance is een begrip waarmee 'goed bestuur' in de publieke sector wordt<br />
aangeduid. Onder government governance wordt verstaan: ‘Het waarborgen van de<br />
onderlinge samenhang van de wijze van sturen, beheersen en toezicht houden van een<br />
overheidsorganisatie, gericht op een efficiënte en effectieve realisatie van<br />
beleidsdoelstellingen, alsmede het daarover op een open wijze communiceren en<br />
verantwoording afleggen ten behoeve van belanghebbenden’ [Directie Accountancy<br />
Rijksoverheid, 2000].<br />
Er zijn in de laatste jaren meerdere governancecodes ontwikkeld, in verschillende<br />
sectoren. Na de Nederlandse code <strong>voor</strong> corporate governance (‘code Tabaksblat’) zijn in<br />
Nederland vergelijkbare codes ontwikkeld <strong>voor</strong> onder meer de sectoren zorg, onderwijs,<br />
sociale woningbouw, cultuur, pensioenfondsen en omroepen. In juli 2009 heeft het Kabinet<br />
een nieuwe Monitoring Commissie Corporate Governance Code benoemd. De Commissie<br />
volgt de Commissie Frijns op, die in december 2008 de Code Tabaksblat heeft<br />
geactualiseerd 14 . De belangrijkste aanpassingen liggen onder meer op het gebied van<br />
risicobeheersing.<br />
Vanzelfsprekend is ook <strong>voor</strong> overheidsorganisaties een goede governance van belang. Zij<br />
moeten zich immers kunnen verantwoorden tegenover de politieke toezichthouders: de<br />
Tweede Kamer, de Provinciale Staten <strong>of</strong> de Gemeenteraad. De Directie accountancy<br />
Overheid (DAR) stelt in een handleiding Government Governance [2000] dat corporate<br />
governance heeft geleid tot visies die bruikbaar zijn in de publieke sector, maar dat het<br />
14 De Nederlandse corporate governance Code, Monitoring Commissie Corporate Governance Code, december 2008.<br />
28
algehele kader waarin deze worden gepresenteerd als zodanig niet goed bruikbaar is in de<br />
publieke sector. Er zijn immers belangrijke verschillen tussen publieke organisaties en<br />
private organisaties (zie ook paragraaf 3.6). Het betreft zowel de structuur als de<br />
processen die zich hierin afspelen.<br />
In 2008 heeft een werkgroep een code <strong>voor</strong> goed openbaar bestuur ontwikkeld. Die is<br />
bedoeld <strong>voor</strong> besturen van het rijk, Provincies, gemeenten, waterschappen en politie. Met<br />
deze code maken organisaties in het openbaar bestuur duidelijk dat zij op basis van<br />
dezelfde beginselen van goed bestuur willen handelen en optreden. In zowel de<br />
handleiding government governance als het concept van de Nederlandse code <strong>voor</strong> goed<br />
openbaar bestuur ontbreekt het aan een expliciete koppeling naar het gebruik van<br />
risicomanagement.<br />
3.7 <strong>Risicomanagement</strong> bij Provincies<br />
Hoewel de risicoagenda aantoont dat de noodzaak <strong>voor</strong> een organisatiebrede toepassing<br />
van risicomanagement bij Provincies meer dan ooit aanwezig is, toont onderzoek<br />
[Boorsma; 2006, Dul; 2007] aan dat risicomanagement nog onvoldoende verankerd is in<br />
de planning- en controlcyclus. De bevindingen worden gestaafd door<br />
PricewaterhouseCoopers. In het onderzoek naar de manier waarop risicomanagement in<br />
organisaties wordt bedreven, concludeert PwC dat met name bij de overheid een formeel<br />
risicomanagementbeleid ontbreekt. [PwC, 2005].<br />
Dat risicomanagement bij de overheid nog in de kinderschoenen, erkent ook Kruf,<br />
<strong>voor</strong>zitter van de PRIMO, Public risk management organization (2008). ‘We kijken er lang<br />
niet altijd systematisch en op het juiste niveau naar. Overheden nemen tal van besluiten<br />
zonder de risico’s <strong>voor</strong>af systematisch te calculeren. Pas bij de uitvoering komen de<br />
risico’s dan aan het licht”. Ook Deloitte constateert dat er door organisaties in het<br />
publieke domein nog weinig gebruik gemaakt wordt van risicomanagement bij het sturen<br />
en beheersen van het collegeprogramma (H<strong>of</strong>stra, 2007).<br />
Een benchmark 15 naar het beleid en de verantwoording hierover in de<br />
weerstandsparagraaf van de 12 Provincies [Bosman, 2008], toont aan dat<br />
risicomanagement veelal als sturingsinstrument achteraf wordt gehanteerd en dat de focus<br />
op financieel risicomanagement in plaats van organisatiebreed risicomanagement ligt.<br />
Daarnaast toonde de benchmark aan dat er bij Provincies weinig aandacht is <strong>voor</strong> het in<br />
kaart brengen en monitoren van de bij de risico’s behorende beheersmaatregelen. Een<br />
eenduidige manier van rapporteren over risico’s is op basis van de interprovinciale<br />
vergelijking niet te onderkennen.<br />
15 Benchmark Provinciale jaarstukken 2007, in opdracht van de Kring van Provinciesecretarissen. 11 december 2008.<br />
29
Veel overheidsorganisaties besteden weliswaar aandacht aan risicomanagement, maar dat<br />
gebeurt op versnipperde wijze <strong>of</strong> louter op basis van actuele problematiek (Van ´t Hart,<br />
2007). In vergelijking met het bedrijfsleven heeft de overheid nog een inhaalslag te<br />
maken om risicomanagement systematisch op de kaart te zetten.<br />
<strong>Risicomanagement</strong>, als onderdeel van de planning- & controlcyclus, dient een bijdrage te<br />
leveren aan het realiseren van bestuurlijk gewenste doelstellingen, beleidseffecten en<br />
prestaties van de Provincie. Hierbij is risicomanagement een methodiek <strong>voor</strong> het op<br />
systematische wijze identificeren, analyseren, evalueren, beheersen, monitoren en<br />
communiceren van de risico’s die samenhangen met een activiteit, functie <strong>of</strong> proces met<br />
als doel het verschaffen van een redelijke mate van zekerheid dat de (strategische- en<br />
operationele) doelstellingen van de organisatie zullen worden behaald.<br />
In onderstaand model is het belang van een adequate koppeling van risicomanagement in<br />
relatie tot het bereiken van doelen schematisch weergegeven. De koppeling van<br />
strategische risico´s aan de operationele beheersing in processen, is hierin leidend. Het<br />
toont aan dat risicomanagement in een organisatie plaats vindt op alle niveau’s binnen de<br />
organisatie. Hierbij wordt ervan uitgegaan dat risicomanagement in ieder geval drie<br />
gebruiksniveaus heeft: (1) het provinciaal bestuur als eindverantwoordelijke om de<br />
doelstellingen te realiseren; (2) het College van Gedeputeerde Staten en de directie om de<br />
organisatie zo effectief en efficiënt mogelijk in te zetten en (3) de ambtelijke organisatie<br />
om interne en/<strong>of</strong> externe projecten te realiseren.<br />
Figuur 3. <strong>Risicomanagement</strong>model Provincies. (Bosman, 2007)<br />
Coalitieakkoord<br />
Doe le n<br />
PS:<br />
Welke doelen en<br />
m aatschappelijke<br />
E ffecten?<br />
GS en Directie:<br />
Hoe gaan we dit bereiken?<br />
A fdelingsho<strong>of</strong>den/<br />
Programm amanagers:<br />
Ho e voere n we dit uit?<br />
missie<br />
wettelijk<br />
kader<br />
Program ma<br />
begroting<br />
Productenram ing<br />
jjjjj<br />
Procesbeschrijvingen<br />
Organisatievisie<br />
Risico’s<br />
Strategische risico’s<br />
T actische risico’s<br />
O perationele risico’s<br />
30
Bovenstaand figuur schetst het belang van de organisatiebrede benadering van<br />
risicomanagement bij Provincies. Organisatiebreed risicomanagement gaat uit van een<br />
benadering waarbij het management op basis van haar bijdragen aan de realisatie van de<br />
organisatiedoelstellingen wordt geïntegreerd en gecoördineerd over de gehele organisatie<br />
[Van Moorsel, 2003]. Vaak ontbreekt het overigens aan een duidelijk beeld over de<br />
toegevoegde waarde van risicomanagement, zowel op het bestuurlijke niveau als op<br />
operationeel niveau [Marle en Haisma, 2008]. Van Doorn benoemt als belangrijke risico’s<br />
<strong>voor</strong> de overheid: “[…] risico’s die de doelen bedreigen en de urgente risico’s die <strong>voor</strong> de<br />
meerjarige agenda belangrijk zijn.” [2006]. Doorvertaald in een sturingsmechanisme duidt<br />
Van Doorn het belang van een adequaat sturingsmechanisme: “[…] dat overwegend<br />
betrekking heeft op het niveau houden en verbeteren van de processen en de organisatie”.<br />
Als de verschillende lagen in een organisatie onvoldoende beseffen waarom aan<br />
risicomanagement wordt gedaan en wat dit kan bijdragen aan hun functioneren, zal men<br />
ook geen risicobewuste cultuur gaan uitdragen.<br />
Bij het implementeren van risicomanagement moet men de toegevoegde waarde ervan<br />
<strong>voor</strong> de verschillende niveaus in de organisatie <strong>voor</strong> ogen hebben. Pas als er een<br />
duidelijke relatie zichtbaar is tussen eigen prestaties en risicomanagement, zal de<br />
organisatie gaan bewegen. De toegevoegde waarde hangt nauw samen met belangen,<br />
afgeleid van taken en verantwoordelijkheden die men heeft in een organisatie.<br />
Met het toenemende belang van –en daardoor belangstelling <strong>voor</strong>– risicomanagement bij<br />
de Provincies, neemt ook de behoefte toe aan een conceptueel raamwerk daar<strong>voor</strong>. Een<br />
falende risicobeheersing kan immers van directe invloed zijn op het belang dat de<br />
stakeholder hecht aan deze overheidsdienst. Daarmee komt de legitimiteit van de<br />
Provincie in het geding.<br />
Het lijkt erop dat met het opstellen van een internationale standaard <strong>voor</strong> een raamwerk<br />
<strong>voor</strong> het organisatiebreed managen van risico’s (ISO 31000) een belangrijke stap is<br />
gemaakt naar deze gewenste koppeling tussen doelstellingen en processen, zoals in figuur<br />
3 is weergegeven. ISO 31000 tracht een complete beschrijving te geven van de<br />
verschillende zaken die relevant zijn <strong>voor</strong> risicomanagement. Daarbij wordt niet alleen<br />
ingezoomd op het risicomanagementproces, maar ook op de context ervan, waarin<br />
mandaten worden afgegeven door opdrachtgevers en waarbij stakeholders nadrukkelijk<br />
worden betrokken bij het proces.<br />
31
3.8 Operationaliseren van begrippen<br />
De aandacht <strong>voor</strong> het vakgebied risicomanagement staat recent volop in de belangstelling,<br />
zowel in pr<strong>of</strong>it als non-pr<strong>of</strong>it organisaties. Naast de te doorlopen stappen in het<br />
risicomanagementproces, blijkt uit de verschillende definities van risico en<br />
risicomanagement dat met name cultuur- en structuuraspecten belangrijk zijn als kritische<br />
succesfactor <strong>voor</strong> een succesvolle toepassing van risicomanagement. Als kritische<br />
succesfactor dienen:<br />
1. Positionering van risicomanagement binnen de organisatie<br />
2. Draagvlak van management en bestuur<br />
3. Borgen van risicomanagement in proces<br />
4. Aansluiting bij de doelstellingen van de organisatie<br />
Er is een grote verscheidenheid aan werkwijzen en gehanteerde raamwerken <strong>voor</strong><br />
risicomanagement, waarbij veelal de beheersing van financiële risico´s ten behoeve van<br />
de controlerende (externe) accountant centraal staat.<br />
Met betrekking tot Provincies, blijkt uit literatuuronderzoek dat ISO-31000 een geschikt<br />
kan zijn om risicomanagement toe te passen. Het sluit aan bij de complexe<br />
besluitvormingsprocessen van de Provinciale overheid en de sterk veranderende externe<br />
context waarin de Provincies zich bevinden.<br />
Los van het te hanteren instrument, dient te worden beoordeeld in welke mate Provincies<br />
invulling geven aan de positionering van risicomanagement binnen de organisatie<br />
(structuur) en (het verbeteren van) het draagvlak <strong>voor</strong> risicomanagement bij het<br />
management (cultuur).<br />
Op basis van de kritische succesfactoren <strong>voor</strong> risicomanagement , de uitgangspunten <strong>voor</strong><br />
toepassing van ISO-31000 en de specifieke politiek-bestuurlijke context van Provincies,<br />
kunnen de volgende criteria <strong>voor</strong> een succesvol risicomanagement bij Provincies worden<br />
benoemd:<br />
1. Verantwoordelijkheden zijn belegd op strategisch, tactisch en operationeel niveau<br />
2. Er is sprake van een organisatiebreed risicobewustzijn, op zowel strategisch,<br />
tactisch en operationeel niveau<br />
3. <strong>Risicomanagement</strong> maakt onderdeel uit van (besluitvorming)processen<br />
4. <strong>Risicomanagement</strong> sluit aan bij de doelstellingen van de provinciale organisatie<br />
32
Om te komen van de begrippen, zoals gehanteerd in het literatuuronderzoek, naar<br />
toetsbare begrippen in het empirisch onderzoek, worden hieronder de belangrijkste<br />
begrippen geoperationaliseerd<br />
<strong>Risicomanagement</strong><br />
<strong>Risicomanagement</strong> omvat de gecoördineerde activiteiten, gekoppeld aan een effectief<br />
management van gebeurtenissen en de effecten daarvan op de doelstellingen van de<br />
organisatie. Hiermee worden bedoeld de regels en procedures (activiteiten) waarmee het<br />
dagelijkse functioneren van de organisatie gestuurd wordt.<br />
Risico.<br />
De onzekerheid dat een gebeurtenis zich <strong>voor</strong>doet waarbij zowel positieve als negatieve<br />
effecten kunnen optreden, die van invloed zijn op het doelbereik.<br />
<strong>Raamwerk</strong><br />
Het is het kader dat er<strong>voor</strong> moet zorgen dat risicomanagementprocessen zijn ingebed in<br />
de managementstructuur en besluitvormingsprocessen van de organisatie en dat ze<br />
worden aangestuurd vanuit een duidelijke visie en beleid op de functie van<br />
risicomanagement <strong>voor</strong> de organisatie.<br />
Processen<br />
<strong>Risicomanagement</strong> krijgt gestalte door uitvoering van het risicomanagementproces. In het<br />
hart van het proces zitten de stappen van het identificeren, analyseren en evalueren van<br />
risico’s verbonden aan een proces, project <strong>of</strong> organisatie. De processen vormen het hart<br />
van een organisatie. Hiermee wordt bedoeld de aaneenschakeling van activiteiten in een<br />
bedoelde volgorde en met een beoogd resultaat.<br />
Voor een uitgebreide opzet en verantwoording van het methodologisch onderzoek wordt<br />
verwezen naar ho<strong>of</strong>dstuk 4.<br />
33
4 METHODOLOGIE<br />
In dit ho<strong>of</strong>dstuk wordt de opzet en<br />
verantwoording van het empirisch<br />
onderzoek afgebakend. In<br />
paragraaf 4.1 wordt stilgestaan bij<br />
het <strong>voor</strong>onderzoek, de<br />
geraadpleegde bestaande bronnen<br />
en experts (4.2 en 4.3).<br />
In paragraaf 4.4 worden de<br />
begrippen uit het literatuuronderzoek<br />
geoperationaliseerd, die<br />
Ho<strong>of</strong>dstuk 1<br />
Inleiding<br />
Ho<strong>of</strong>dstuk 2<br />
Opdracht en<br />
onderzoek<br />
Ho<strong>of</strong>dstuk 3<br />
Literatuuronderzoek<br />
Ho<strong>of</strong>dstuk 4<br />
Methodologie<br />
Ho<strong>of</strong>dstuk 5<br />
Onderzoeksresultaten<br />
Ho<strong>of</strong>dstuk 6<br />
Conclusies<br />
in de enquêtes en de interviews worden gehanteerd. Daarnaast worden respectievelijk de<br />
dataverzameling, de dataverwerking en de methoden van dataverzameling toegelicht<br />
(4.5/4.6/4,7).<br />
4.1 Vooronderzoek<br />
Om een goed inzicht te verkrijgen van het vakgebied risicomanagement, is als eerste stap<br />
in het onderzoek verschillende soorten literatuur op dit gebied geraadpleegd. Om aan te<br />
kunnen geven wat risicomanagement inhoudt, kan aangesloten worden bij de grote<br />
hoeveelheid aan (vak)literatuur op dit gebied. Daarnaast is er literatuur afkomstig uit de<br />
praktijk, bestaat uit rapporten en artikelen van organisaties die zich bezighouden met<br />
risicomanagement zoals bij<strong>voor</strong>beeld PricewaterhouseCoopers, Deloitte, Ernst & Young,<br />
het Nederlands Adviesbureau <strong>voor</strong> <strong>Risicomanagement</strong> (NAR), het Nederlands<br />
Normalisatie-instituut (NEN), en trainingen/presentaties/handreikingen/syllabi op het<br />
gebied van risicomanagement <strong>voor</strong> overheden. Ten aanzien van het openbaar bestuur zijn<br />
onder meer recente publicaties op het gebied van decentralisatiediscussies en Government<br />
Governance beoordeeld, alsmede publicaties van de Wetenschappelijke raad <strong>voor</strong> het<br />
Regeringsbeleid.<br />
Op basis van de bestudeerde theorieën en modellen, zijn in het <strong>voor</strong>onderzoek vervolgens<br />
interviews afgenomen met deskundigen om de eerste bevindingen te toetsen. De keuze<br />
<strong>voor</strong> deze deskundigen is gebaseerd op hun ervaring op het gebied van risicomanagement<br />
binnen de publieke sector en binnen lokale overheden in het bijzonder.<br />
Als deskundigen zijn in het <strong>voor</strong>onderzoek geïnterviewd:<br />
• Dick Hortensius, senior standardization consultant managementsystemen van het<br />
Nederlands Normalisatie-instituut NEN. Dick Hortensius verzorgt het secretariaat<br />
van de normcommissie ISO 31000 en vertegenwoordigt Nederland in de<br />
internationale werkgroep.<br />
• William Segers, Ho<strong>of</strong>d Inspectie Financiën Lokale en provinciale Overheden en<br />
<strong>voor</strong>zitter Kenniskring Weerstandsvermogen en <strong>Risicomanagement</strong>; Ministerie<br />
Binnenlandse zaken en Koninkrijkszaken (BzK).<br />
35
• Maurice Thijssen, directeur Binnenlands Bestuur PricewaterhouseCoopers. PwC heeft<br />
ondersteunt bij het totstandkomen van het COSO-framework. Daarnaast is PwC de<br />
huisaccountant van het merendeel van de Provincies (8).<br />
• Robert ’t Hart. Directeur van het Nederlands adviesbureau <strong>voor</strong> <strong>Risicomanagement</strong>.<br />
Daarnaast hebben genoemde personen op verschillende momenten conceptversies van het<br />
onderzoeksrapport gereviewed.<br />
Overigens dient vermeld dat gedurende het <strong>voor</strong>onderzoek de interesse <strong>voor</strong> de aanpak en<br />
de uitkomsten van het onderzoek groot is gebleken. Dat heeft geleid tot verschillende<br />
presentaties van de aanpak en aanleiding in onder meer de Kenniskring <strong>voor</strong><br />
<strong>Risicomanagement</strong>, onder coördinatie van het Ministerie van BzK. Daarnaast is ook tijdens<br />
3 landelijk georganiseerde congressen/seminars een presentatie gehouden over<br />
<strong>Risicomanagement</strong> in relatie tot de nieuwe ISO-norm. Eind 2008 is in een publicatie in het<br />
tijdschrift Politiek Management stilgestaan bij het <strong>voor</strong>liggende onderzoek (zie bijlage 4).<br />
Daarnaast is er door verschillende instanties interesse <strong>voor</strong> publicatie van de uitkomsten<br />
getoond.<br />
4.2 Te raadplegen bestaande bronnen<br />
Reeds beschikbaar is secundaire data, informatie verzameld <strong>voor</strong> een ander doel, maar<br />
bruikbaar als data <strong>voor</strong> het onderzoek dat <strong>voor</strong>ligt. Het betreft data, verzameld op basis<br />
van eerder verricht (literatuur)onderzoek dat ik heb gedaan bij de Provincie Limburg in het<br />
kader van de MBA-opleiding, danwel op basis van interne projecten/opdrachten bij de<br />
Provincie Limburg:<br />
1. Beschrijving en analyse van de werking van een Provinciale organisatie (rolverdeling<br />
Provinciale Staten, gedeputeerde Staten en ambtelijke organisatie).<br />
2. Uitkomsten van de organisatiescan <strong>voor</strong> bestuurlijke planning en control. (Ontwikkeld<br />
door o.a. het ministerie van BZK en de VNG, gestoeld op het INK-model).<br />
36
Figuur 4. INK model<br />
Interne<br />
beheersing<br />
Maatschappelijke<br />
effecten<br />
Producten<br />
Input<br />
Interne bedrijfsvoering met<br />
externe effecten<br />
Fase Fase 1 1 Input Input<br />
Sturing Adequate op<br />
activiteiten structuur en<br />
besturing<br />
Reactief<br />
Fase Fase 2 2 Proces Proces<br />
Ontwikkeling<br />
Ontwikkeling<br />
planning<br />
planning<br />
&<br />
controlcyclus<br />
controlcyclus<br />
Externe dienstverlening met<br />
interne effecten<br />
Fase<br />
Fase<br />
5<br />
5<br />
Omgeving<br />
Omgeving<br />
Realiseren<br />
Realiseren<br />
omgevingsomgevingsgerichte<br />
Fase<br />
Fase<br />
4<br />
4<br />
Klant gerichte<br />
sturing<br />
sturing<br />
Klant<br />
Sturen<br />
Sturen<br />
op<br />
op<br />
kwaliteit<br />
kwaliteit<br />
en<br />
en<br />
cultuur<br />
Fase<br />
Fase<br />
3<br />
3<br />
Product cultuur<br />
Product<br />
Product-,<br />
Product-,<br />
outputoutputen<br />
en<br />
prestatiesturing<br />
prestatiesturing<br />
Proactief<br />
Bron: Ministerie van Binnenlandse Zaken en Koninkrijksrelaties<br />
Ontwikkelvermogen<br />
Externe<br />
oriëntatie<br />
Het geeft een beschrijving op een aantal verschillende planning & controldimensies<br />
waarbij een onderverdeling in een vijftal ontwikkelingsfasen is te maken. De fasen<br />
variëren naar de mate van interne beheersing (van beheersing van activiteiten naar<br />
sturing op maatschappelijke effecten) en de mate van externe oriëntatie (van<br />
reactief naar pro-actief). Met behulp van dit model is onder meer de strategische<br />
positie- en ambitiebepaling van de provinciale managementcontrol van de Provincie<br />
Limburg vastgesteld.<br />
3. Benchmarkgegevens paragraaf weerstandsvermogen. Op verzoek van de kring van<br />
Provinciesecretarissen 16 , ben ik in juni 2008 gestart met een interprovinciale<br />
vergelijking van alle Jaarstukken. Als onderdeel van deze vergelijking is de<br />
paragraaf Weerstandsvermogen beoordeeld. De uitkomsten van dit onderzoek heb ik<br />
in december 2008 gepresenteerd aan de kring van Provinciesecretarissen. De<br />
uitkomsten zijn meegenomen in <strong>voor</strong>liggend onderzoek.<br />
4. Interne documenten Provincie Limburg:<br />
Organisatievisie 2015. (november 2008)<br />
‘Sturen met managementinformatie’, de verbinding tussen coalitieakkoord en<br />
outcome, december 2006.<br />
Coalitieakkoord 2007-2011: “Investeren en Verbinden’, mei 2007.<br />
Verslagen project ‘Procesmanagement’ (2006-2008). Deze verslagen geven<br />
inzicht in de samenhang en <strong>voor</strong>tgang van 12 prioritaire projecten, die de<br />
strategische alertheid moeten vergroten en die de organisatie gereed maken <strong>voor</strong><br />
de uitvoering van het coalitieakkoord 2007-2011.<br />
5. Benchmarkgegevens<br />
Aanpak risicomanagement andere Provincies/gemeenten<br />
16 Kring van Provinciesecretarissen, december 2007<br />
37
Weerstandsvermogen en risicomanagement gemeente Venlo; Onderzoek en<br />
aanbevelingen, 2006.<br />
Kenniskring <strong>Risicomanagement</strong> en Weerstandsvermogen (ministerie van BZK) ,<br />
verslagen 2007-2009<br />
Congres <strong>Risicomanagement</strong>; 21 april 2008, Ministerie van BZK, Rotterdam<br />
Seminar <strong>Risicomanagement</strong>; 12 september 2008, Provincie Limburg, Maastricht.<br />
Jaarcongres Primo,<br />
Intervisiebijeenkomst <strong>Risicomanagement</strong> Provincies, 2 juli 2009<br />
6. Onderzoeksrapporten derden<br />
Rapport van onderzoek naar Provinciale bestuurskracht.<br />
Interimcontrole 2008, PricewaterhouseCoopers (PwC) 17<br />
Rapport van bevindingen 2007/2008 (PwC)<br />
Rapport van de Zuidelijke Rekenkamer (onderzoek naar de jaarstukken 2007) 18<br />
Voor een volledig overzicht van de geraadpleegde bronnen wordt verwezen naar de<br />
literatuurlijst.<br />
4.3 Te raadplegen expert<br />
Voor dit onderzoek dient Robert ’t Hart (directeur van het Nederlands adviesbureau <strong>voor</strong><br />
risicomanagement) als sparringpartner/sponsor. Hij beschikt over een uitgebreide kennis<br />
en ervaring op het gebied van het toepassen van risicomanagement bij zowel pr<strong>of</strong>it als<br />
not-for-pr<strong>of</strong>it organisaties en heeft rond dit vakgebied een groot netwerk opgebouwd.<br />
Robert is als externe adviseur nauw betrokken geweest bij de implementatie van<br />
risicomanagement bij de Provincie Limburg. Hij maakt tevens onderdeel uit van de<br />
Nederlandse normcommissie, die de ontwerpteksten <strong>voor</strong> de risicomanagementrichtlijn<br />
ISO 31000 beoordeelt.<br />
4.4 Operationalisatie van begrippen<br />
Voor de beoordeling van de kritische succesfactoren <strong>voor</strong> de toepassing van ISO 31000 bij<br />
Provincies, is gebruik gemaakt van enquêtes en het houden van interviews. In de enquête<br />
zijn vragen opgenomen over de wijze waarop Provincies invulling geven aan de drie<br />
onderdelen van de ISO 31000-norm;<br />
1. Principes <strong>voor</strong> risicomanagement<br />
2. <strong>Raamwerk</strong> <strong>voor</strong> risicomanagement<br />
3. <strong>Risicomanagement</strong>-proces.<br />
Om te komen van de begrippen, zoals gehanteerd in het literatuuronderzoek, naar<br />
toetsbare begrippen in het empirisch onderzoek, zijn in paragraaf 3.8 de belangrijkste<br />
17<br />
De accountant van de Provincie Limburg (PWC) voert ieder jaar een interimcontrole uit, ter <strong>voor</strong>bereiding op de controle van de<br />
jaarrekening. De aanbevelingen worden benoemd in een managementletter, die wordt <strong>voor</strong>gelegd aan de Directie.<br />
18 De Zuidelijke Rekenkamer is in 2004 opgericht door de Provincies Noord-Brabant en Limburg en draagt bij aan de<br />
transparantie van het intern functioneren van de provinciale organisatie en het extern presteren van de provinciale overheid.<br />
In 2006 heeft de Rekenkamer een onderzoek uitgevoerd naar de rolverdeling tussen Provinciale Staten en Gedeputeerde<br />
Staten inzake de sturing en beheersing van apparaatskosten.<br />
38
egrippen reeds geoperationaliseerd. Hieronder worden de belangrijkste begrippen nader<br />
bepaald.<br />
<strong>Risicomanagement</strong><br />
Op basis van de literatuurstudie van risicomanagement en de theorie van openbaar<br />
bestuur, komt samengevat naar voren welke criteria <strong>voor</strong> risicomanagement bij Provincies<br />
worden gehanteerd. Hierin zijn enkele dimensies (onderstreept) opgenomen.<br />
Als Provincies risicomanagement willen toepassen, dan dienen :<br />
Ze naast een koppeling aan doelstellingen, ook zorg te dragen <strong>voor</strong> een proces,<br />
waarbij risicobewustzijn wordt gedeeld (cultuur). Het succesvol toepassen van<br />
risicomanagement bij Provincies vereist dat, naast een geschikt raamwerk, er<br />
duidelijkheid is over de uitgangspunten van het gebruik van risicomanagement.<br />
Daarnaast moet ook helder zijn op welke niveau’s de verantwoordelijkheid <strong>voor</strong><br />
risicomanagement binnen de provinciale organisatie is belegd.<br />
Op grond van bovengenoemde nadere bepaling, zijn deze dimensies vertaald naar<br />
onderwerpen en is aangegeven wat er, wat betreft deze dimensies geacht wordt aanwezig<br />
te zijn (begrip zoals bepaald <strong>voor</strong> dit onderzoek):<br />
Doelstellingen<br />
Doelstellingen, zoals opgenomen in de programmabegroting van de Provincie, als<br />
doorvertaling van het coalitieakkoord, zoals dat <strong>voor</strong> 4 jaar is opgesteld en vastgesteld<br />
door Provinciale Staten.<br />
Proces<br />
De uitvoering van het risicomanagementproces omvat de stappen van het identificeren,<br />
analyseren en evalueren van risico’s verbonden aan een proces <strong>of</strong> project. De processen<br />
vormen het hart van een organisatie. Hiermee wordt bedoeld de aaneenschakeling van<br />
activiteiten in een bedoelde volgorde en met een beoogd resultaat. De Provincies dienen<br />
dan ook te beschikken over een systematiek van risicoidentificatie, risicobeoordeling en<br />
monitoring.<br />
<strong>Risicomanagement</strong><br />
<strong>Risicomanagement</strong> omvat de gecoördineerde activiteiten, gekoppeld aan een effectief<br />
management van gebeurtenissen en de effecten daarvan op de doelstellingen van de<br />
organisatie. Hiermee worden bedoeld de regels en procedures (activiteiten) waarmee het<br />
dagelijkse functioneren van de organisatie gestuurd wordt.<br />
39
<strong>Raamwerk</strong><br />
Het is het kader dat er<strong>voor</strong> moet zorgen dat risicomanagementprocessen zijn ingebed in<br />
de managementstructuur en besluitvormingsprocessen van de organisatie en dat ze<br />
worden aangestuurd vanuit een duidelijke visie en beleid op de functie van<br />
risicomanagement <strong>voor</strong> de organisatie.<br />
Uitgangspunten<br />
Op basis van de kritische succesfactoren <strong>voor</strong> risicomanagement (paragraaf 3.8) en de<br />
specifieke politiek-bestuurlijke context van Provincies (3.6), kunnen de volgende criteria<br />
<strong>voor</strong> een succesvol risicomanagement bij Provincies worden benoemd:<br />
1) Verantwoordelijkheden dienen te zijn belegd op strategisch, tactisch en operationeel<br />
niveau. Positionering van risicomanagement is rand<strong>voor</strong>waardelijk <strong>voor</strong> het creëren<br />
van draagvlak. Op strategisch niveau bij zowel Bestuur, directie als overig<br />
management. Op tactisch niveau bij projectleiding en operationeel bij medewerkers,<br />
procesbewaking.<br />
2) Risicobewustzijn van verschillende risicogebieden wordt actief gedeeld op strategisch,<br />
tactisch en operationeel niveau. Het stimuleert het organisatiebrede risicobewustzijn<br />
binnen de Provincie.<br />
3) <strong>Risicomanagement</strong> maakt onderdeel uit van (besluitvormings) processen. Doorvertaald<br />
in een sturingsmechanisme is het van belang dat risicomanagement als een adequaat<br />
sturingsmechanisme dient dat betrekking heeft op het niveau houden en verbeteren<br />
van de processen en de organisatie.<br />
4) <strong>Risicomanagement</strong> sluit aan bij de doelstellingen van de provinciale organisatie. Op<br />
bestuurlijk als operationeel niveau zijn de belangrijkste risico’s <strong>voor</strong> de overheid<br />
risico’s die de doelen bedreigen en de urgente risico’s die <strong>voor</strong> de meerjarige agenda<br />
belangrijk zijn.<br />
Verantwoordelijkheid<br />
Voor een succesvol risicomanagement is het van belang dat rollen, taken en<br />
verantwoordelijkheden met betrekking tot risicomanagement duidelijk zijn benoemd. Met<br />
het juist vastleggen van taken, verantwoordelijkheden en bevoegdheden ten aanzien van<br />
risicomanagement, kan het mandaat en de positionering worden geregeld.<br />
Hieronder is de uiteindelijke operationalisering opgenomen in de vorm van vragen die in<br />
de interviews gesteld zijn. De vragenlijsten zijn uitgezet op 17 april 2009. De<br />
geënquêteerden zijn zorgvuldig geselecteerd op hun directe betrokkenheid met het<br />
vakgebied risicomanagement bij de betreffende Provincie. De personen zijn <strong>voor</strong>af<br />
40
telefonisch benaderd met het verzoek tot deelname aan het onderzoek. Alle Provincies<br />
hebben de vragenlijst ingevuld, de laatste is ontvangen op 26 mei 2009.<br />
Uitgangspunt 1. Positionering. Vraag 1,2,3,4,5,6,12,13,15,16,17,18,19,20,21,31<br />
Uitgangspunt 2. Actief delen risicomanagement. 8, 9,10,11,14,22,24,33,34,35<br />
Uitgangspunt 3. Proces. 23,25,27,28,29,30,32,35,36<br />
Uitgangspunt 4. Doelstellingen. 26<br />
Daarna zijn in een intervisiebijeenkomst met vier betrokken functionarissen nog eens de<br />
eerste resultaten besproken (2 juli 2009). Vervolgens is er bij twee Provincies een<br />
interview gehouden, waarin met name de focus is gelegd op de eerste twee<br />
uitgangspunten.<br />
4.5 Dataverzameling<br />
Populatie vragenlijst<br />
Voor het verzamelen van data zijn alle Provincies benaderd. De geënquêteerden zijn<br />
zorgvuldig geselecteerd op hun directe betrokkenheid met het vakgebied<br />
risicomanagement bij de betreffende Provincie. Het betreft dus een afgebakende<br />
populatie. De personen zijn <strong>voor</strong>af telefonisch benaderd met het verzoek tot deelname aan<br />
het onderzoek. Alle provincies hebben deelgenomen aan het onderzoek.<br />
Populatie diepte-interviews<br />
Op basis van de resultaten van de ingevulde vragenlijsten is nog bij twee Provincies een<br />
diepte-interview gehouden. De keuze <strong>voor</strong> de Provincies is gebaseerd op de ervaringen ten<br />
aanzien positionering van risicomanagement en het actief delen van risicomanagement.<br />
De interviews dienden dan ook als toets van de algemene bevindingen en zijn afgenomen<br />
bij functionarissen, waarbij risicomanagement als verantwoordelijkheid is ondergebracht.<br />
Het betreft niet dezelfde personen, die de vragenlijst van de betreffende provincie hebben<br />
ingevuld.<br />
4.6 Dataverwerking<br />
Bij de in de vragenlijsten gebruikte variabelen is er geen sprake van een bepaalde<br />
meeteenheid. Het zijn met andere woorden variabelen op nominaal meetniveau, er<br />
kunnen immers geen berekeningen op worden uitgevoerd.<br />
Met behulp van rechte tellingen is inzichtelijk gemaakt hoeveel antwoorden de<br />
verschillende Provincies in elke antwoordcategorie hebben gegeven.<br />
41
4.7 Kwaliteit van dataverzamelingmethoden<br />
In dit onderzoek is gestreefd naar betrouwbaarheid, validiteit en bruikbaarheid van de<br />
onderzoeksgegevens.<br />
Betrouwbaarheid<br />
De betrouwbaarheid van empirisch onderzoek betreft de consistentie en de<br />
repliceerbaarheid van de methoden, de omstandigheden en de resultaten van dat<br />
onderzoek. De maatregel die is genomen om de betrouwbaarheid van de gegevens te<br />
bevorderen is de toepassing van verschillende onderzoeksmethoden. In dit onderzoek is<br />
gebruik gemaakt van bestaande (benchmark)onderzoeken, documenten van de 12<br />
Provincies, interviewtechnieken en vragenlijsten.<br />
Validiteit<br />
Naast betrouwbaarheid is ook de validiteit van het onderzoek van wezenlijk belang. Met<br />
validiteit wordt bedoeld <strong>of</strong> we wel meten wat we in feite wensen te meten. Bij het<br />
<strong>voor</strong>liggende onderzoek is de validiteit geborgd door het zorgvuldig bepalen van de<br />
populatie van de respondenten van de vragenlijsten (zie ook paragraaf 4.5). Daarnaast is<br />
met name de operationalisatie van begrippen (paragraaf 4.4) zoals gehanteerd in het<br />
literatuuronderzoek, naar toetsbare begrippen in het empirisch onderzoek van belang <strong>voor</strong><br />
een valide onderzoek.<br />
Bruikbaarheid.<br />
Bij het <strong>voor</strong>liggende praktijkgerichte onderzoek is gestreefd naar bruikbaarheid van de<br />
gegevens. Met de toegepaste kennis en de resultaten van het onderzoek wordt immers<br />
beoogd om een bijdrage te leveren aan de passende toepassing <strong>voor</strong> risicomanagement bij<br />
Provincies.<br />
42
5 RESULTATEN<br />
In dit ho<strong>of</strong>dstuk worden de<br />
uitkomsten gepresenteerd van het<br />
onderzoek, uitgevoerd door<br />
middel van vragenlijsten bij<br />
Provincies en gehouden<br />
interviews.<br />
5.1 Inleiding<br />
Ho<strong>of</strong>dstuk 1<br />
Inleiding<br />
Ho<strong>of</strong>dstuk 2<br />
Opdracht en<br />
onderzoek<br />
Ho<strong>of</strong>dstuk 3<br />
Literatuuronderzoek<br />
Ho<strong>of</strong>dstuk 4<br />
Methodologie<br />
Ho<strong>of</strong>dstuk 5<br />
Onderzoeksresultaten<br />
Ho<strong>of</strong>dstuk 6<br />
Conclusies<br />
Omdat alleen een overzicht van de bevindingen uit het literatuuronderzoek (ho<strong>of</strong>dstuk 3)<br />
nog geen garantie biedt <strong>voor</strong> de bruikbaarheid ervan, is op verschillende wijzen aan de<br />
hand van de praktijk, beoordeeld in hoeverre de uit de literatuur blijkende kritische<br />
succesfactoren ook daadwerkelijk toepasbaar kunnen zijn <strong>voor</strong> risicomanagement bij de<br />
Provinciale overheid.<br />
Voor het beoordelen van de kritische succesfactoren <strong>voor</strong> de toepassing van ISO-31000 bij<br />
Provincies, is gebruik gemaakt van enquêtes en interviews. Om inzicht te krijgen in de<br />
wijze waarop de beoordelingscriteria bruikbaar zijn, is aan contactpersonen bij de 12<br />
Provincies digitaal een vragenlijst afgenomen en is bij 2 provincies een diepte interview<br />
gehouden (zie ook paragraaf 4.5 dataverzameling).<br />
Bij de operationalisering van de vragen is rekening gehouden met de specifieke criteria<br />
<strong>voor</strong> een succesvol risicomanagement bij Provincies:<br />
1. Verantwoordelijkheden zijn belegd op strategisch, tactisch en operationeel niveau<br />
2. Er is sprake van een organisatiebreed risicobewustzijn, op zowel strategisch,<br />
tactisch en operationeel niveau<br />
3. <strong>Risicomanagement</strong> maakt onderdeel uit van (besluitvorming)processen<br />
4. <strong>Risicomanagement</strong> sluit aan bij de doelstellingen van de provinciale organisatie<br />
In de enquête zijn vragen opgenomen over de wijze waarop Provincies invulling geven aan<br />
de drie onderdelen van de ISO 31000-norm;<br />
1. Uitgangspunten <strong>voor</strong> risicomanagement;<br />
2. <strong>Raamwerk</strong> <strong>voor</strong> risicomanagement;<br />
3. <strong>Risicomanagement</strong>-proces.<br />
De uitkomsten worden per onderdeel uitgewerkt.<br />
43
5.2 Uitgangspunten risicomanagement<br />
Bij de beoordeling van de uitgangspunten van risicomanagement is stilgestaan bij het<br />
gevoerde risicomanagementbeleid, de invloed van recente ontwikkelingen, de gehanteerde<br />
definities en de gehanteerde risicomanagement-standaard.<br />
<strong>Risicomanagement</strong>beleid<br />
Om een uniforme werkwijze in de organisatie te bevorderen is het van belang dat de<br />
Provincie een beleid vaststelt ten aanzien van risicomanagement. In dit onderzoek is<br />
gevraagd in hoeverre Provincies een formeel risicomanagementbeleid hebben vastgesteld.<br />
De belangrijkste resultaten:<br />
Bij 3 Provincies is (nog) geen risicomanagementbeleid vastgesteld.<br />
Bij 9 Provincies zijn de uitgangspunten van risicomanagement formeel vastgelegd<br />
in risicomanagementbeleid en vervolgens vastgesteld door Provinciale Staten; het<br />
beleidsbepalende en bestuurlijke orgaan van de Provincie.<br />
Bij 6 Provincies is het risicomanagementbeleid recent vastgesteld (in 2007 <strong>of</strong> later).<br />
Daar waar risicomanagementbeleid in 2006 <strong>of</strong> eerder is vastgesteld, is door de<br />
respondenten aangegeven dat er op korte termijn bijstelling van dit beleid plaats<br />
vindt (bij 4 Provincies binnen een half jaar).<br />
Gevraagd is aan de Provincies welke aspecten aanleiding zijn geweest om<br />
risicomanagementbeleid op te stellen. De uitkomsten zijn in onderstaande tabel<br />
gepresenteerd.<br />
Tabel 2 Aanleiding opstellen van risicomanagementbeleid<br />
Aanleiding <strong>voor</strong> opstellen van risicomanagementbeleid (N=9) Aantal Provincies<br />
Externe factoren<br />
Public Governance 5<br />
Decentralisatie-afromingdiscussies 0<br />
Economische crisis 1<br />
Verscherpte wet- en regelgeving 2<br />
Verzoek Provinciale staten 1<br />
Onderzoek rekenkamer 1<br />
Bevinding accountant 5<br />
Interne factoren<br />
Interne veranderingen/reorganisatie 2<br />
Een incident 1<br />
Verbeteren versnipperde aanpak 6<br />
Verzoek college GS 0<br />
De aanleiding <strong>voor</strong> het opstellen van risicomanagementbeleid bij Provincies wordt<br />
ingegeven in het geval van externe factoren door bevindingen van de accountant en in<br />
mindere mate door recente decentralisatie- cq afromingsdiscussies tussen Rijk en<br />
Provincies. Daarnaast is het verbeteren van de inzicht in de bestaande versnipperde<br />
44
isicoaanpak de belangrijkste interne aanleiding <strong>voor</strong> het opstellen van<br />
risicomanagementbeleid. De behoefte van deze Provincies om de versnipperde aanpak te<br />
structureren is een belangrijke stap tot een meer integrale benadering van<br />
risicomanagement bij Provincies.<br />
De respondenten is gevraagd welke onderdelen uitmaken van het<br />
risicomanagementbeleid.<br />
Tabel 3 Onderdelen van risicomanagementbeleid<br />
Onderdelen van risicomanagementbeleid (N=9) Aantal Provincies<br />
Doelstelling 8<br />
Aanleiding 4<br />
Scope 5<br />
Aanpak 6<br />
Tijdspad implementatie 0<br />
Relatie organisatiestrategie 1<br />
Rand<strong>voor</strong>waarden 3<br />
Rollen/verantwoordelijkheden 6<br />
Gehanteerde risicotolerantie 5<br />
Omdat richtlijnen ontbreken, wordt het risicomanagementbeleid door Provincies<br />
verschillend ingevuld. Opvallend is dat, van de 9 Provincies met een vastgesteld<br />
risicomanagementbeleid, 3 Provincies geen rollen en verantwoordelijkheden hebben<br />
beschreven in het beleid. Terwijl juist met het vastleggen van taken,<br />
verantwoordelijkheden en bevoegdheden, het mandaat en de positionering kan worden<br />
geregeld.<br />
Bij het opstellen van risicomanagementbeleid hebben nagenoeg alle Provincies gebruik<br />
gemaakt van externe advisering. 7 Provincies zijn ondersteund door een gespecialiseerd<br />
adviesbureau, 3 Provincies door een accountant. Een derde van de Provincies heeft het<br />
benchmarkinstrument gebruikt en zich over risicomanagementbeleid laten adviseren door<br />
andere Provincies/gemeenten.<br />
Invloed recente ontwikkelingen<br />
De Provincies is gevraagd om aan te geven <strong>of</strong> recente ontwikkelingen van invloed zijn op<br />
het risicomanagement. Het betreft :<br />
(1) Externe ontwikkelingen ten aanzien van een mogelijke afroming van de inkomsten van<br />
de Provincie, boven het bedrag dat zij binnen bestaande afspraken nodig hebben <strong>voor</strong><br />
de uitoefening van hun taken. Dit in combinatie met de decentralisatiediscussies [Mans<br />
(2008), Oosting (2007), Lodders (2008), De Hondt (2008)].<br />
45
(2) De impact van de economische crisis op de uitvoering van het in gang gezette beleid<br />
van de Provincie. De kredietcrisis staat immers aan de basis van een conjuncturele<br />
terugval die ook de provinciale economie kan raken. Daarnaast heeft de crisis tot<br />
gevolg dat risico’s wellicht ook meer dan ooit ook genomen moeten worden.<br />
In onderstaande figuur is de impact weergegeven van recente externe ontwikkelingen op<br />
risicomanagement.<br />
Figuur 5 Impact recente ontwikkelingen op risicomanagement bij de Provincie<br />
1<br />
0<br />
aanpassen beleid opnieuw<br />
inventariseren<br />
2<br />
4<br />
4<br />
categorie impact<br />
5<br />
doorbereken<br />
consequenties<br />
5<br />
4<br />
geen impact<br />
afromings<strong>voor</strong>stellen/<br />
decentralisatiediscussie<br />
economische crisis<br />
De uitkomsten laten een wisselend beeld zien van de impact van zowel de economische<br />
crisis als afromings<strong>voor</strong>stellen op risicomanagement. Bij vier Provincies (economische<br />
crisis) respectievelijk 5 Provincies (decentralisatiediscussies) heeft de veranderende<br />
externe context geen invloed op risicomanagement. Opmerkelijk is het te noemen dat de<br />
–risicovolle- ontwikkelingen die op (middel)lange termijn de organisatie raken, bij een<br />
groot aantal Provincies geen invloed hebben op het gevoerde risicomanagement.<br />
Gehanteerde definities<br />
Aan de Provincies is gevraagd welke definitie <strong>voor</strong> risico wordt gehanteerd. Hieruit blijkt<br />
dat 3 Provincies geen specifieke definitie hanteren <strong>voor</strong> het begrip ‘risico’. De resterende 9<br />
Provincies hanteren <strong>voor</strong> het begrip ´risico´ de volgende definities:<br />
Kans op het optreden van een gebeurtenis met een negatief gevolg <strong>voor</strong><br />
betrokkene.<br />
Alle potentiële gebeurtenissen <strong>of</strong> omstandigheden die doelrealisatie kunnen<br />
belemmeren. Kans op het optreden van een gebeurtenis met een negatief gevolg<br />
<strong>voor</strong> betrokkene en betrekking op doelrealisatie.<br />
46
Alle potentiële gebeurtenissen die doelrealisatie kunnen bevorderen <strong>of</strong><br />
belemmeren.<br />
Onzekere gebeurtenis met negatieve invloed op bereiken van doelstellingen.<br />
Zes Provincies hanteren een traditionele definitie <strong>voor</strong> het begrip risico. 7 Provincies<br />
koppelen het begrip expliciet aan doelstellingen. De definitie, waarbij het begrip risico<br />
wordt neergezet als een neutraal begrip (kansen en bedreigingen) met een positief <strong>of</strong><br />
negatief effect op de doelstellingen van de organisatie, wordt slechts door 2 Provincies<br />
gehanteerd.<br />
Ook over het begrip´risicomanagement´ circuleren talrijke definities. Aan de Provincies<br />
is gevraagd welke definitie <strong>voor</strong> risicomanagement wordt gehanteerd. 3 Provincies gaven<br />
aan geen definitie te gebruiken <strong>voor</strong> het begrip ‘risicomanagement’. De resterende<br />
Provincies hanteren uiteenlopende definities:<br />
Proces met als doel om potentiële gebeurtenissen die de organisatie kunnen<br />
beïnvloeden, te identificeren en hierop binnen gestelde uitgangspunten, te<br />
reageren en daarmee een redelijke zekerheid te kunnen verkrijgen dat de<br />
organisatie haar doelstellingen kan realiseren.<br />
Activiteiten uitvoeren ter <strong>voor</strong>koming <strong>of</strong> beperking van gevolgen op een onzekere<br />
gebeurtenis.<br />
Continue en systematisch doorlopen van de organisatie op risico´s met als doel om<br />
de gevolgen ervan te <strong>voor</strong>komen <strong>of</strong> te vermijden en de kans erop te verkleinen <strong>of</strong><br />
op een andere manier beheersbaar te maken.<br />
Het gestructureerd managen van het risico dat een organisatie om financiële dan<br />
wel niet-financiële redenen de beleidsdoelen niet <strong>of</strong> niet volledig realiseert.<br />
Regelmatig en systematisch onderzoek naar risico´s die materiële en immateriële<br />
belangen, activiteiten en mensen bedragen en de implementatie en formulering<br />
van een geïntegreerd beleid met betrekking tot risico-overdracht, risic<strong>of</strong>inanciering<br />
en risicoreductie.<br />
Structureel beheersen van risico´s, gericht op het nemen van beslissingen op het<br />
<strong>voor</strong>komen <strong>of</strong> minimaliseren van nadelige effecten bij het optreden van risico´s.<br />
Het geheel van activiteiten en maatregelen gericht op het omgaan met en het<br />
beheersen van risico´s.<br />
Nemen van passende maatregelen ter <strong>voor</strong>koming <strong>of</strong> beheersing van risico´s.<br />
Drie Provincies hanteren een definitie, gebaseerd op de te doorlopen basisstappen<br />
(identificeren en beheersen van risico´s) van het risicomanagementproces.<br />
47
Overigens is het opvallend dat slechts 1 van de 5 Provincies, die aan hebben gegeven het<br />
risicomanagement binnen de organisatie te hebben ingericht volgens het COSO-<br />
raamwerk, ook daadwerkelijk de definitie <strong>voor</strong> risicomanagement hanteert, zoals door<br />
COSO [2004] wordt gehanteerd: “<strong>Risicomanagement</strong> is een proces dat bewerkstelligd<br />
wordt door het bestuur van de onderneming, het management en ander personeel en<br />
wordt toegepast bij het formuleren van de strategie en binnen de gehele onderneming,<br />
ontworpen om potentiële gebeurtenissen die invloed kunnen hebben op de onderneming<br />
te identificeren en om risico´s te beheren zodat deze binnen de risico-acceptatiegraad<br />
vallen, om een redelijke zekerheid te bieden ten aanzien van het behalen van de<br />
ondernemingsdoelstellingen”.<br />
Gehanteerde risicomanagementstandaard<br />
Het hanteren van een specifiek risicomanagementmodel kan als instrument helpen om de<br />
uitgangspunten van risicomanagement en de beheersing ervan te borgen in de<br />
organisatie. Daarbij dient te worden vermeld dat bij PricewaterhouseCoopers (PwC) bij 8<br />
Provincies als huisaccountant is benoemd. PwC is een mede-opsteller van het COSO-<br />
raamwerk.<br />
5 Provincies geven aan dat, bij het inrichten van risicomanagement, gebruik is<br />
gemaakt van het COSO-raamwerk. Opmerkelijk daarbij is dat er vervolgens bij de<br />
implementatie van risicomanagement slechts zelden gebruik wordt gemaakt van de<br />
stappen, zoals in COSO beschreven.<br />
4 Provincies geven aan, geen risicomanagementstandaard te hanteren bij de inrichting<br />
van risicomanagement.<br />
1 Provincie gebruikt een combinatie van COSO en een eigen standaard, geïntegreerd<br />
in de planning- en controlcyclus.<br />
1 Provincie heeft de inrichting van risicomanagement gestoeld op de regelgeving<br />
vanuit het Besluit Begroting en Verantwoording (BBV) in combinatie met een<br />
specifieke risicobenadering <strong>voor</strong> projecten (RISMAN).<br />
1 Provincie weet niet <strong>of</strong> er gebruik gemaakt wordt van een specifieke<br />
risicomanagementstandaard.<br />
Belangrijkste bevindingen:<br />
1. Ondanks de risicoagenda van de Provincies is het opvallend dat een kwart van de<br />
Provincies nog steeds geen formeel risicomanagementbeleid heeft opgesteld.<br />
Hierdoor ontbreekt het aan uniforme kaders en aanpak om risicomanagement<br />
organisatiebreed te borgen binnen de organisatie.<br />
2. De scope, aanpak en rollen/verantwoordelijkheden maakt bij 1/3 van de Provincies<br />
geen onderdeel uit van het vastgestelde risicomanagementbeleid, Terwijl juist met<br />
48
het vastleggen van taken, verantwoordelijkheden en bevoegdheden, het mandaat<br />
en de positionering kan worden geregeld.<br />
3. Eenderde van de Provincies geeft aan dat belangrijke recente externe –risicovolle-<br />
ontwikkelingen (o.a. afromings- en decentralisatiediscussies en de economische<br />
crisis) geen invloed hebben op risicomanagement;<br />
4. Bij 6 van de 9 provincies met een vastgesteld risicomanagementbeleid, is de<br />
directe aanleiding –onder meer- gelegen in de behoefte aan structurering van de<br />
versnipperde aanpak van risicomanagement;<br />
5. Van de Provincies die het COSO-raamwerk benoemen in hun<br />
risicomanagementbeleid, wordt slechts in beperkte mate het genoemde raamwerk<br />
gehanteerd als leidraad <strong>voor</strong> implementatie van risicomanagement.<br />
5.3 <strong>Raamwerk</strong> risicomanagement<br />
Het managen van risico’s kan plaats vinden, indien de context en scope van<br />
risicomanagement goed zijn bepaald. De context kan worden ontleend aan het<br />
risicomanagementraamwerk. Het raamwerk dient daarbij als een kader om er<strong>voor</strong> te<br />
zorgen dat risicomanagementprocessen ingebed worden en aansluiten bij de algemene<br />
besluitvormingsprocessen van de organisatie. Het raamwerk geeft dan ook de basis <strong>voor</strong><br />
de borging van risicomanagement binnen een organisatie.<br />
Bij de beoordeling van het raamwerk van risicomanagement bij provincies is onder meer<br />
stilgestaan bij de typering van risicomanagement, de positionering en de belangrijkste<br />
risico’s.<br />
Typering risicomanagement<br />
Aan de respondenten is gevraagd hoe het risicomanagement bij de Provincie het beste<br />
is te omschrijven. In figuur 6 zijn de resultaten weergegeven van de<br />
antwoordcategorieën.<br />
49
Figuur 6 Omschrijving van risicomanagement<br />
1<br />
1<br />
3<br />
Omschrijving van risicomanagement N = 12<br />
7<br />
gemanaged door specialisten<br />
gecoordineerd door specialisten<br />
volledig geintegreerd in de lijnorganisatie<br />
beperkte interactie tussen de verschillende<br />
onderdelen van risicomanagement<br />
Een grote meerderheid (7 Provincies) geeft aan, dat er een beperkte interactie is<br />
tussen de afzonderlijke gebieden van risicomanagement. Het geeft het beeld dat<br />
risico’s gefragmenteerd worden geïdentificeerd en onafhankelijk van elkaar beoordeeld<br />
vanuit separate, gespecialiseerde functies en afdelingen. 1 Provincie geeft aan dat<br />
risicomanagement volledig geïntegreerd is in de lijnorganisatie, waarbij een speciaal<br />
integraal risicomanagementoverleg is ingesteld, met een periodieke afstemming over<br />
risicomanagement op zowel strategisch, tactisch als operationeel niveau.<br />
Positionering<br />
Voor een succesvol risicomanagement is het van belang dat rollen, taken en<br />
verantwoordelijkheden met betrekking tot risicomanagement duidelijk zijn benoemd.<br />
De positionering van risicomanagement is verschillend belegd bij Provincies. De<br />
verantwoordelijkheid <strong>voor</strong> concernbrede risico-identificatie en risico–analyse is als<br />
volgt belegd:<br />
ho<strong>of</strong>d middelen (1).<br />
ondersteunende afdeling (jurist/auditor/financiën) (4)<br />
risicomanagementfunctionaris (2 Provincies)<br />
concerncontroller in combinatie met directeur en gedeputeerde (1)<br />
concerncontroller in combinatie met directeur (1)<br />
concerncontroller in combinatie met ho<strong>of</strong>d middelen (2)<br />
risicomanager in combinatie met concerncontroller (1)<br />
Door bewust te kiezen <strong>voor</strong> een expliciete positionering van risicomanagement bij een<br />
onafhankelijke functionaris, wordt de kans vergroot op objectiviteit ten opzichte van de<br />
medewerkers die verantwoordelijk zijn <strong>voor</strong> het nemen van risico’s.<br />
50
Vijf Provincies hebben taken en verantwoordelijkheden met betrekking tot<br />
risicomanagement (nog) niet in functiebeschrijvingen <strong>of</strong> risicomanagementbeleid<br />
vastgelegd.<br />
Voor het creëren van risicobewustzijn binnen een organisatie is het van belang om<br />
medewerkers te trainen op het gebied van risicomanagement. Aan de Provincies is de<br />
vraag gesteld <strong>of</strong> en op welke wijze medewerkers worden getraind in<br />
risicomanagement. Geconstateerd kan worden dat er nog onvoldoende aandacht is<br />
<strong>voor</strong> scholing van medewerkers ten aanzien van aspecten van risicomanagement. Bij 7<br />
Provincies worden medewerkers niet getraind in risicomanagement, daarvan 2 hebben<br />
Provincies aangegeven dat hiermee in 2009 zal worden gestart. Slechts 2 Provincies<br />
trainen medewerkers op een combinatie van verschillende onderdelen<br />
(managementontwikkel-programma en projectmatig werken).<br />
Belangrijkste risico’s<br />
Gezien de (financiële) focus vanuit de weerstandsparagraaf is het weinig verrassend<br />
dat alle Provincies primair focussen op de financiële risico’s. De resultaten geven<br />
echter ook aan dat er in veel gevallen nog geen focus is op meerdere, afzonderlijke<br />
risicogebieden, waarmee een organisatiebreed risicobeeld kan worden verkregen.<br />
Geen van de Provincies werkt met een in-control statement.<br />
Belangrijkste bevindingen<br />
1. Scope, aanpak en rollen/verantwoordelijkheden maakt bij eenderde van de<br />
Provincies geen onderdeel uit van het vastgestelde risicomanagementbeleid;<br />
2. Tweederde van de Provincies omschrijft risicomanagement als een beperkte<br />
interactie tussen de afzonderlijke risicogebieden;<br />
3. <strong>Risicomanagement</strong> wordt nog sterk traditioneel ingestoken vanuit een verplichte<br />
externe verantwoordingsbehoefte in de paragraaf Weerstandsvermogen. Een aantal<br />
Provincies maakt een beweging naar een organisatiebrede aanpak van<br />
risicomanagement;<br />
4. Er is slechts in beperkte mate aandacht <strong>voor</strong> scholing van medewerkers ten<br />
aanzien van aspecten van risicomanagement<br />
5. Bij tweederde van de Provincies is de primaire verantwoordelijkheid <strong>voor</strong><br />
risicomanagement strategisch belegd op het niveau van<br />
directeur/concerncontroller.<br />
51
5.4 <strong>Risicomanagement</strong> proces<br />
Het raamwerk dient als een kader om er<strong>voor</strong> te zorgen dat risicomanagementprocessen<br />
ingebed worden en aansluiten bij de algemene besluitvormingsprocessen van de<br />
organisatie.<br />
De Provincies hebben vanuit het Besluit Begroting en Verantwoording (BBV) weliswaar de<br />
verplichting om beleid te voeren op het gebied van risicomanagement, de risicoagenda<br />
van Provincies vraagt echter een bredere benadering met integratie van risicomanagement<br />
in de dagelijkse besluitvormingsprocessen.<br />
Bij de beoordeling van het proces van risicomanagement bij Provincies is onder meer<br />
stilgestaan bij de risico-identificatie en – beoordeling, de rapportage over risico’s en de<br />
toetsing van beheersmaatregelen.<br />
Risicoidentificatie en -beoordeling<br />
Om de risico’s inzichtelijk te maken, is het een belangrijke stap om de risico’s te<br />
identificeren en te beoordelen. Aan de respondenten is gevraagd wanneer gestart is<br />
met risico-inventarisatie en risicoanalyses. In figuur 7 is weergegeven wanneer bij de<br />
Provincie hiermee is gestart.<br />
Figuur 7 Start risico-inventarisaties<br />
2<br />
Wanneer gestart met risico-inventarisaties (N=12)<br />
4<br />
4<br />
0<br />
2<br />
minder dan 1 jaar<br />
tussen 1 en 3 jaar<br />
tussen 3 en 5 jaar<br />
langer dan 5 jaar<br />
nog niet, wel van plan<br />
Twee Provincies voeren (medio 2009) nog geen risico-inventarisaties uit, maar zijn dat<br />
wel van plan.<br />
52
In het onderzoek is aan de respondenten gevraagd op welke wijze en met welke<br />
frequentie, risico’s worden geïdentificeerd en beoordeeld in de organisatie. De helft van<br />
de Provincies geeft aan, dat de inventarisatie wordt uitgevoerd bij het opstellen van de<br />
programmabegroting en de jaarrekening, als onderdeel van de paragraaf<br />
weerstandsvermogen. Bij 3 Provincies worden de risico’s slechts 1 keer per jaar<br />
geïdentificeerd.<br />
Alle Provincies gebruiken de uitkomsten van de risico-inventarisatie <strong>voor</strong> de paragraaf<br />
weerstandsvermogen.<br />
Bij het opzetten van de identificatie van risico’s hebben 7 Provincies gebruik gemaakt<br />
van externe advisering. 4 Provincies zijn ondersteund door een gespecialiseerd<br />
adviesbureau, 3 Provincies door een accountant. Slechts 1 Provincie heeft het<br />
benchmarkinstrument gebruikt en heeft zich laten adviseren door ervaringen bij<br />
andere Provincies/Gemeenten.<br />
Rapportage<br />
Behalve over de in de weerstandsparagraaf opgenomen risico’s, wordt er ook op<br />
andere momenten gerapporteerd over risico’s binnen de organisatie. In GS nota’s (8<br />
Provincies), projectplannen (7), <strong>voor</strong>tgangsrapportages richting Provinciale Staten (5),<br />
<strong>voor</strong>tgangsrapportages aan Gedeputeerde Staten (3) en in een notitie aan het<br />
Directieteam (1).<br />
Aan de respondenten is gevraagd om te benoemen hoeveel risico’s periodiek worden<br />
gerapporteerd aan het directieteam.<br />
Tabel 4 Aantal risico’s gerapporteerd aan directieteam<br />
Aantal risico’s Aantal Provincies<br />
Minder dan 5 0<br />
Tussen 5 en 10 1<br />
Tussen 10 en 20 2<br />
Tussen 20 en 30 2<br />
Meer dan 30 2<br />
Er vindt geen rapportage plaats 5<br />
Opvallend is het grote aantal Provincies, waarbij niet separaat aan het directieteam<br />
wordt gerapporteerd. Bij 1 Provincie maakt risicorapportage deel uit van de planning-<br />
en controlinstrumenten. Bij 2 Provincies wordt er tussen de verschillende<br />
organisatieonderdelen gerapporteerd over elkaars risico’s.<br />
53
Toetsing van beheersmaatregelen<br />
Een belangrijke stap in het risicomanagementproces is toetsing van de werking van de<br />
beheersmaatregelen. 6 Provincies geven aan dat de bij de risico’s behorende<br />
beheersmaatregelen –nog- niet in kaart worden gebracht.<br />
8 Provincies geven aan dat de beheersing van de risico’s wordt getoetst via de interne<br />
controlewerkzaamheden. Het betreft hier over het algemeen controls, als onderdeel<br />
van de Jaarrekeningcontrole.<br />
De helft van de Provincies heeft de risico’s en beheersmaatregelen niet vastgelegd in<br />
processen; 1 Provincie is bezig met het beschrijven ervan.<br />
Belangrijkste bevindingen:<br />
1. Bij twee Provincies wordt er gerapporteerd over de risico’s van de afzonderlijke<br />
risicocategorieën<br />
2. De risico-inventarisatie en –beoordeling is nog veelal gekoppeld aan de planning-<br />
en controlcyclus van de weerstandsparagraaf (Begroting en Jaarrekening)<br />
3. De helft van de Provincies is in 2006 <strong>of</strong> eerder gestart met risico-identificatie en<br />
risicobeoordeling; 2 Provincies moeten daar nog mee starten.<br />
4. Bij de helft van de Provincies worden de beheersmaatregelen –nog- niet in beeld<br />
gebracht.<br />
54
6 CONCLUSIES<br />
In dit ho<strong>of</strong>dstuk worden alle<br />
resultaten uit het onderzoek<br />
gecombineerd tot conclusies.<br />
Inleiding<br />
Ho<strong>of</strong>dstuk 1<br />
Inleiding<br />
Ho<strong>of</strong>dstuk 2<br />
Opdracht en<br />
onderzoek<br />
Ho<strong>of</strong>dstuk 3<br />
Literatuuronderzoek<br />
Ho<strong>of</strong>dstuk 4<br />
Methodologie<br />
Ho<strong>of</strong>dstuk 5<br />
Onderzoeksresultaten<br />
Ho<strong>of</strong>dstuk 6<br />
Conclusies<br />
In dit ho<strong>of</strong>dstuk worden de conclusies beschreven, op basis van de beoordeling van<br />
kritische succesfactoren <strong>voor</strong> een raamwerk, geschikt <strong>voor</strong> toepassing van<br />
risicomanagement bij de Provincies. Om uiteindelijk antwoord te kunnen geven op de<br />
vraag: “Is ISO-31000 geschikt als instrument <strong>voor</strong> risicomanagement bij de Provinciale<br />
overheid?”.<br />
Concluderend<br />
Concluderend kan worden gesteld dat ISO-31000, met een expliciete koppeling van de<br />
uitgangspunten, raamwerk en proces van risicomanagement, in beginsel een geschikt<br />
instrument is <strong>voor</strong> een Provinciale toepassing van risicomanagement. Het sluit aan bij de<br />
complexe besluitvormingsprocessen van de Provinciale overheid en de sterk veranderende<br />
externe context waarin de Provincies zich bevinden. De generieke opzet van het systeem<br />
doet recht aan de verschillende fasen waarin Provincies op het gebied van<br />
risicomanagement staan.<br />
Mits voldaan aan de beoordelingscriteria <strong>voor</strong> risicomanagement bij Provincies, biedt ISO-<br />
31000 de mogelijkheid om risicomanagement organisatiebreed te borgen. Het is een<br />
managementsysteem dat beschrijft wat een organisatie moet doen om de (risicoaspecten<br />
van haar) processen en activiteiten te managen zodat de resultaten en uitkomsten<br />
aansluiten bij de vastgestelde doelstellingen. Het is met name de koppeling van<br />
risicomanagement aan bedrijfsprocessen bij Provincies, dat echter nog in ontwikkeling is.<br />
<strong>Risicomanagement</strong> maakt slechts in enkele gevallen structureel onderdeel uit van<br />
besluitvormingsprocessen. Daarnaast is, vanwege de beperkte aandacht <strong>voor</strong> (toetsen en<br />
monitoren van) beheersing van risico’s; risicomanagement is nog niet in alle gevallen<br />
voldoende gericht op het realiseren van doelen.<br />
55
Risicoagenda provincies<br />
De risicoagenda van Provincies toont aan dat de noodzaak <strong>voor</strong> het voeren van een<br />
gestructureerde, organisatiebrede aanpak van risicomanagement meer dan ooit aanwezig<br />
is. Van belang is het om aan te geven dat de strategische context van Provincies op<br />
onderdelen wezenlijk verschilt van dat van private organisaties. Met name de turbulente –<br />
externe- omgeving van de Provincie en de koppeling aan doelstellingen aan een politieke<br />
vierjaarscyclus zorgt er<strong>voor</strong> dat bij een succesvolle toepassing van risicomanagement niet<br />
alleen kan worden volstaan met het doorlopen van de stappen van het<br />
risicomanagementproces. <strong>Risicomanagement</strong> als instrument om te prioriteren, kansen te<br />
benutten en om in te zetten als sturingsmiddel om mensen en processen te richten op het<br />
bereiken van de (coalitie)doelstellingen, wordt <strong>voor</strong> de Provincies steeds belangrijker.<br />
Criteria <strong>voor</strong> toepassing risicomanagement<br />
Er is een grote verscheidenheid aan werkwijzen en gehanteerde raamwerken <strong>voor</strong><br />
risicomanagement, waarbij veelal de beheersing van financiële risico´s ten behoeve van<br />
de controlerende (externe) accountant centraal staat. Los van het te hanteren instrument,<br />
dient te worden beoordeeld in welke mate Provincies invulling geven aan en de<br />
positionering van risicomanagement binnen de organisatie (structuur) en (het verbeteren<br />
van) het draagvlak <strong>voor</strong> risicomanagement bij het management (cultuur).<br />
Met betrekking tot Provincies, kan de toegevoegde waarde aan organisatieverbetering en<br />
de koppeling aan (besluitvormings)processen een meerwaarde te zijn als instrument <strong>voor</strong><br />
een organisatiebrede aanpak van risicomanagement. Naast de te doorlopen stappen in het<br />
risicomanagementproces, blijkt dat met name cultuur- en structuuraspecten belangrijk zijn<br />
als criteria <strong>voor</strong> een succesvolle toepassing van risicomanagement bij de Provinciale<br />
overheid:<br />
1) Verantwoordelijkheden met betrekking tot risicomanagement zijn belegd op<br />
strategisch, tactisch en operationeel niveau;<br />
2) Er is sprake van een organisatiebreed risicobewustzijn, op zowel strategisch,<br />
tactisch en operationeel niveau;<br />
3) <strong>Risicomanagement</strong> maakt onderdeel uit van (besluitvorming)processen;<br />
4) <strong>Risicomanagement</strong> sluit aan bij de doelstellingen van de Provinciale organisatie.<br />
56
Beoordeling van criteria<br />
Beoordeling van deze criteria bij Provincies leverde conclusies op <strong>voor</strong> de toepassingen<br />
van ISO 31000 als instrument <strong>voor</strong> risicomanagement bij Provincies. Op basis van het<br />
uitgevoerde onderzoek zijn de volgende algemene conclusies te trekken:<br />
1) <strong>Risicomanagement</strong> wordt bij Provincies in toenemende mate aangestuurd vanuit<br />
een strategische visie en beleid op de functie van risicomanagement <strong>voor</strong> de<br />
organisatie, zonder dat er overigens een gestructureerde organisatiebrede aanpak<br />
<strong>voor</strong>handen is;<br />
2) <strong>Risicomanagement</strong>processen zijn nog onvoldoende ingebed in de<br />
managementstructuur en besluitvormingsprocessen van Provincies. Als <strong>voor</strong>beeld<br />
kan dienen dat er slechts sporadisch periodiek organisatiebreed wordt<br />
gerapporteerd over (de <strong>voor</strong>tgang) van de meest prioritaire risico’s;<br />
3) Ondanks het risicovolle en kansrijke karakter, hebben recente externe<br />
ontwikkelingen nauwelijks invloed op het gevoerde risicomanagement.<br />
<strong>Risicomanagement</strong> wordt bij Provincies dan ook nog sterk traditioneel ingestoken<br />
vanuit een verplichte externe verantwoordingsbehoefte in de paragraaf<br />
Weerstandsvermogen;<br />
4) Hoewel bij het merendeel van de Provincies de behoefte bestaat aan structurering<br />
van de versnipperde aanpak van risicomanagement, worden risico’s veelal nog<br />
gemanaged binnen afzonderlijke functionele gebieden in plaats van<br />
organisatiebreed;<br />
5) Er ligt met name nadruk op de risico-inventarisatie en risicoanalyse en minder op<br />
de beheersing van de bijbehorende maatregelen. Terwijl juist het monitoren van<br />
risicobeheersing zorgt <strong>voor</strong> een tijdige bijsturing.<br />
57
7 BRONNEN<br />
7.1 Literatuur<br />
Bergenhenegouwen, L., Gouwens, R., Hortensius, D., Jong de A. (2003). Integratie<br />
Kam/managementsystemen. Delft: Nederlands Normalisatie/instituut.<br />
Boorsman, P.B., Haisma, A.M., Moolenaar, Y. (2006) Gemeentelijk risicomanagement, een<br />
empirisch onderzoek. Zpl.<br />
Braak, H.J.M. ter en Spijker, W.J.H. (1993). Overheid en strategie, een introductie.<br />
Bestuurskunde, jaargang 2, nummer 1, 2-7.<br />
Cameron, K.S. en Quinn, R.E. (1999). Onderzoeken en veranderen van organisatiecultuur,<br />
Den Haag: Academic Service.<br />
Commissie Corporate Governance (2003). De Nederlandse corporate governance code<br />
Beginselen van deugdelijk ondernemingsbestuur en best practice bepalingen. Den haag,<br />
maart 2003.<br />
COSO. (2004). <strong>Risicomanagement</strong> van de onderneming geïntegreerd raamwerk.<br />
Dooren, J. van. (2006). <strong>Risicomanagement</strong>: wat kan vervallen in de control- en<br />
controletoren? Overheidsmanagement, nummer 5, 134-136.<br />
Dul, S.J., (2007). <strong>Risicomanagement</strong> bij middelgrote gemeenten, te groot <strong>voor</strong> het servet,<br />
te klein <strong>voor</strong> het tafellaken. Afstudeerscriptie NIVRA. Universiteit Nijenrode.<br />
Economic Intelligence Unit (2008). The bigger picture; enterprise risk management in<br />
financial service organisations. Londen.<br />
Es, van, A.C. (2009). Nederlandse code <strong>voor</strong> goed openbaar bestuur, beginselen van<br />
deugdelijk overheidsbestuur. Breda, Koninklijke Broese en Peereboom.<br />
Faber, H. en Visser, C. (2006). nieuw COSO-raamwerk lost problemen <strong>voor</strong>ganger niet op,<br />
auditmagazine nr 1, 20-23.<br />
Fraser, J.R.S. (red.). (2007). Ten common misconceptions about enterprise risk<br />
management. Journal <strong>of</strong> Applied Corporate Finance, volume 19 number 4, 75-81.<br />
Hart, R. ´t. (2007). <strong>Risicomanagement</strong>: van ad hoc naar integraal.<br />
<strong>Risicomanagement</strong>special nr 4, 6-7. Reed Business.<br />
Hart, R. ´t. , Scholten, J. (2009). <strong>Risicomanagement</strong>: meer EQ dan IQ; gedrag net zo<br />
belangrijk als kennis. Controllersmagazine, januari/februari 2009, 22-25.<br />
Herman, M.L., Head, G.L., Jackson, P.M., Fogarty, T. (2004). Managing risk in nonpr<strong>of</strong>it<br />
organizations, a comprehensive guide. New yersey+ John Wiley & Sons.<br />
Herwaarden, P. van; Boer, M., Visser, C.A. (2003) Van financial reporting control naar<br />
organisatiebrede control en risicomanagement. Artikel in Financieel Management, oktober<br />
2003.<br />
H<strong>of</strong>stra, P. (2007). Riskmanagement van het collegeprogramma. Deloitte.<br />
59
D´Hondt, E.M. (2008). Vertrouwen en verantwoorden, Voorstellen <strong>voor</strong> decentralisatie en<br />
bestuurskracht. Breda: Koninklijke Broese en Peereboom.<br />
Johnson, G., Scholes, K. en Whittington, R. (2005). Exploring Strategy. Essex: Prentice<br />
Hall.<br />
Knight, K.W. (2008). Risk management, a journey…not a destination. Nundah, Australie.<br />
Lodders-Elfferich, P.C. (2008). Ruimte, regie en rekenschap, Rapport van de Gemengde<br />
commissie decentralisatie<strong>voor</strong>stellen provincies. Den Haag: BzK.<br />
Mans, J.H.H. (2008). De tijd is rijp, Commissie Herziening Handhavingsstelsel VROMregelgeving.<br />
Den Haag: Lifoka kopie & print bv.<br />
Marle, E. van, Haisma, G. (2009). ISO 31000 stimuleert integraal risicomanagement.<br />
Tijdschrift Public Controlling, februari 2009, 14-19. SDU uitgeveri.<br />
Merchant, K.A. en Stede, van der, W.A. (2003) Management control systems,<br />
Essex: Prentice Hall.<br />
Moerkamp, J.(2003). <strong>Risicomanagement</strong> achilleshiel decentraal bestuur. Tijdschrift B&G,<br />
oktober 2003, 6-7.<br />
Moorsel, H. van en Visser, C.A. (2003). Een theoretisch kader <strong>voor</strong> integraal<br />
rirsicomanagement, toegespitst op de overheid. Overheidsmanagement 2003/2, 44-47.<br />
Nijendaal, G.A., Steiner, B. (2009). Provinciefonds: omvang en verdeling ter discussie, de<br />
rekensommen achter het advies van de Rfv. Tijdschrift B&G, jaargang 36, nummer 4, april<br />
2009, 5-9.<br />
Noordergraaf, M. (2008). Management in het publieke domein. Issues, instituties en<br />
instrumenten. Muiderberg: Couthino.<br />
Oosting, M. (2007). Van specifiek naar generiek, doorlichting en beoordeling van<br />
interbestuurlijke toezichtarrangementen. Breda: Koninklijke Broese & Peereboom.<br />
Paape, L. (2005). <strong>Risicomanagement</strong>, de praktijk in Nederland. PricewaterhouseCoopers.<br />
Rasmussen, M., (2007). As/NZ 4360- a practical choice over COSO ERM. Forrester<br />
Research, 3 januari 2007.<br />
Renn, O. (2005). Risk governance, towards an integrative approach. White paper <strong>of</strong> the<br />
Risk Governance Council. Geneve, Zwitserland.<br />
Samad-Khan, A. (2005). Why COSO is flawed. Operational Risk magazine, januari 2005.<br />
Santen, B.P.A. (2006). Corporate governance in de praktijk. Zpl., Kluwer.<br />
Schoutrop, R. (2006). ISO is gelijk aan SOX? Afstudeerscriptie. Amsterdam: Universiteit<br />
van Amsterdam.<br />
Valens, P.M.M. (1993). Topambtenaren, boeren en levende diamanten, <strong>of</strong> waarom<br />
strategie-ontwikkeling bij de overheid relatief lastig is. Bestuurskunde, jaargang 2,<br />
nummer 1, 42-44.<br />
Wetenschappelijke Raad <strong>voor</strong> het regeringsbeleid (2008). Onzekere veiligheid,<br />
verantwoordelijkheden rond fysieke veiligheid. Amsterdam:Amsterdam University Press.<br />
60
Zoellick, B., Frank, T. (2005). Governance, risk management and compliance: an<br />
operational approach. Zpl, Gilbane Report.<br />
7.2 Methodische literatuur<br />
Baarda, D.B., Goede, de M.P.M., Teunisssen, J. (2007). Basisboek <strong>voor</strong> het opzetten en<br />
uitvoeren van kwalitatief onderzoek. Groningen: Wolters-Noordh<strong>of</strong>f.<br />
Swanborn, P.G. (1987). Methoden van sociaal-wetenschappelijk onderzoek. Meppel:<br />
uitgeverij Boom.<br />
Verschuren, P, Doorewaard, H. (2007). Het ontwerpen van een onderzoek. Den Haag :<br />
uitgeverij Lermma.<br />
Wester, F. (1991), Strategieën <strong>voor</strong> kwalitatief onderzoek, Muiderberg, Coutinho.<br />
7.3 Documenten<br />
Bosman, R.F.D. (2008). Interprovinciale vergelijking van Jaarstukken. Maastricht.<br />
Deloitte. (2008). Risk management in een politiek bestuurlijke omgeving.<br />
Verdiepingssessie op het PRIMO-jaarcongres. Den Bosch, 9 oktober 2008.<br />
Gemeente Rotterdam (2005). Greep op risico´s, mededeling over de bedrijfsvoering.<br />
Ministerie van Binnenlandse Zaken en Koninkrijksrelaties. (2004). Besluit<br />
accountantscontrole provincies en gemeenten (BAPG). Den Haag, BZK.<br />
Ministerie van Financiën, Directie Accountancy Rijksoverheid (2000). Handleiding<br />
Government Governance – een instrument ter toetsing van de governance bij de<br />
rijksoverheid. Den Haag, BZK.<br />
Ministerie van Binnenlandse Zaken en Koninkrijksrelaties. (2009). Staat van het bestuur<br />
2008, een algemeen beeld van de trends bij gemeenten, provincies en de interbestuurlijke<br />
betrekkingen. Den Haag, BZK.<br />
Ministerie van BZK. (2003). ‘Respons, een scan <strong>voor</strong> bestuurlijke planning & control in een<br />
duaal stelsel’. februari 2003.<br />
Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, Interprovinciaal overleg (IPO)<br />
(2005). Paragrafen in een duaal bestel. Den Haag, BZK.<br />
Nederlands Normalisatie Instituut NEN. Diverse (internationale) publicaties, presentaties<br />
en notities ten aanzien van de norm ISO-31000. Delft/ Secretariat <strong>of</strong> ISO TMB WG on Risk<br />
Management.<br />
Provincie Limburg, 2007. Coalitieakkoord 2007-2011: “Investeren en Verbinden”.<br />
Maastricht.<br />
Provincie Limburg, (2008). Organisatievisie 2015. Provincie Limburg, Maastricht.<br />
Provincie Limburg. 2006. Projectplannen van 12 prioritaire projecten (div), Maastricht.<br />
61
Provincie Limburg. 2006. Sturen met managementinformatie, de verbinding tussen<br />
coalitieakkoord en outcome., Maastricht.<br />
Provincie Limburg. (2008). Presentatie risicomanagement ten behoeve van<br />
managementteam. Maastricht.<br />
Provincie Limburg. (2008). Presentatie risicomanagement ten behoeve van congres<br />
<strong>Risicomanagement</strong>. Ministerie van binnenlandse Zaken en Koninkrijkszaken. Rotterdam.<br />
Provincie Limburg. (2008). Presentatie risicomanagement ten behoeve van seminar<br />
<strong>Risicomanagement</strong> <strong>voor</strong> Limburgse gemeenten. Maastricht.<br />
PricewaterhouseCoopers (2001). Scan planning & control. De planning & control bij 12<br />
Provincies: ervaringen, leer- en verbeterpunten. Almere, PwC.<br />
PricewaterhouseCoopers (2005). Governance & Audit bij de rijksoverheid, ontwikkelingen<br />
in de private sector: what’s in it for you?. PwC.<br />
Public Risk Forum (2007). Magazine for Public Risk Magazine, mei 2007<br />
62
BIJLAGEN<br />
63
Bijlage 1. Begeleidende brief<br />
Maastricht, 17 april 2009<br />
Betreft: deelname aan afstudeeronderzoek <strong>Risicomanagement</strong><br />
Beste collega,<br />
Sinds 2005 ben ik werkzaam bij de Provincie Limburg in een controllerfunctie. Als<br />
onderdeel daarvan heb ik in 2007 een start gemaakt met de implementatie van<br />
organisatiebreed risicomanagement.<br />
Als afsluiting van mijn opleiding (MBA-controlling) ben ik daarnaast bezig met een<br />
afstudeeronderzoek naar de mogelijkheden van een sectorspecifieke vertaling van<br />
ISO 31000 naar het provinciale middenbestuur. Eind 2009 wordt er namelijk een<br />
nieuwe ISO-richtlijn gepubliceerd; ISO 31000. Deze richtlijn spitst zich toe op de<br />
toepassing van risicomanagement binnen organisaties.<br />
Om de toepassing van de richtlijn bij Provincies te kunnen toetsen, heb ik 36<br />
vragen opgesteld. De enquêtes worden afgenomen bij de functionaris, die direct<br />
betrokken is bij (implementatie/coördinatie) van risicomanagement bij de<br />
betreffende Provincie.<br />
Nadrukkelijk dient te worden vermeld dat de individuele uitkomsten van de<br />
enquêtes niet worden gebruikt in mijn afstudeeronderzoek; van belang is het<br />
totaalbeeld. Vanzelfsprekend zal ik zorgen dat je de uitkomsten van mijn<br />
afstudeeronderzoek toegestuurd krijgt. Naar verwachting zal ik mijn<br />
afstudeeronderzoek kort na de zomer afronden.<br />
Het invullen van de enquête duurt ongeveer 20 minuten.<br />
De vragenlijst is een PDF-file. Verzoek om deze uit te printen, in te vullen en –<br />
uiterlijk 29 april-retour te sturen naar:<br />
Provincie Limburg<br />
Tav René Bosman<br />
Limburglaan 10<br />
6229 GA Maastricht<br />
Alvast bedankt <strong>voor</strong> de medewerking!<br />
Met vriendelijke groet<br />
René Bosman<br />
043-389 7471<br />
65
Bijlage 2. Gehanteerde vragenlijst<br />
Enquête <strong>Risicomanagement</strong> bij Provincies<br />
Introductie<br />
Organisaties worden steeds meer geconfronteerd met risico’s, die adequaat dienen te worden<br />
gemanaged, omdat hun stakeholders dat van ze verwacht. Dit geldt ook zeker <strong>voor</strong> de<br />
overheid. Specifiek <strong>voor</strong> de Provincie als middenbestuur geldt dat de meerwaarde regelmatig<br />
ter discussie wordt gesteld. Dit vraagt om een duidelijk zichtbare en presterende Provincie die<br />
een herkenbare toegevoegde waarde levert aan maatschappelijke vraagstukken in een steeds<br />
complexere en risicovolle context. Voor de Provincies is de aandacht <strong>voor</strong> het voeren van een<br />
gestructureerde, integrale aanpak van risicomanagement meer dan ooit noodzakelijk.<br />
Deze enquête bevat in totaal 36 vragen, in drie ho<strong>of</strong>donderdelen gesplitst. Naast de<br />
uitgangspunten van risicomanagement, worden vragen gesteld over de door de Provincie<br />
gehanteerde aanpak. Het laatste ho<strong>of</strong>donderdeel staat stil bij het proces van risicobeoordeling<br />
tot risicobeheersing, zoals dat plaats heeft binnen uw organisatie.<br />
I. Uitgangspunten van <strong>Risicomanagement</strong><br />
Onderstaande vragen hebben betrekking op de uitgangspunten van risicomanagement, zoals<br />
gehanteerd door uw Provincie.<br />
1 Heeft uw Provincie<br />
risicomanagementbeleid vastgesteld?<br />
2 Op welk niveau is het<br />
risicomanagementbeleid vastgesteld?<br />
(meerdere antwoorden mogelijk)<br />
3 Wat was <strong>voor</strong> uw Provincie de directe<br />
aanleiding om risicomanagementbeleid<br />
op te stellen?<br />
(meerdere antwoorden mogelijk)<br />
• Ja<br />
• Nee (ga verder met vraag 6)<br />
• Directie<br />
• Gedeputeerde staten<br />
• Provinciale staten.<br />
• Anders, nl:<br />
• Public governance<br />
• Decentralisatiediscussies<br />
• Interne veranderingen/reorganisatie<br />
• Economische crisis<br />
• Verscherpte wet- /regelgeving<br />
• Een incident<br />
• Verzoek transparantie PS.<br />
• Onderzoek Rekenkamer.<br />
• Bevinding van accountant<br />
• Verzoek van college GS.<br />
• Verbeteren van inzicht in versnipperde<br />
risicoaanpak<br />
• Anders, nl<br />
66
4 Welke onderdelen zijn opgenomen in het<br />
risicomanagementbeleid?<br />
(meerdere antwoorden mogelijk)<br />
5 Wanneer is het (gewijzigde)<br />
risicomanagementbeleid <strong>voor</strong> het laatst<br />
vastgesteld?<br />
6 Op welke termijn zal er<br />
risicomanagementbeleid bij uw Provincie<br />
worden ontwikkeld cq gewijzigd?<br />
7 Wanneer is uw Provincie begonnen met<br />
het uitvoeren van organisatiebrede risicoinventarisaties<br />
en risico–analyses?<br />
8 Is het risicomanagement in uw organisatie<br />
ingericht volgens een bepaalde<br />
risicomanagementstandaard?<br />
• Doelstelling<br />
• Aanleiding (intern en extern).<br />
• Scope (op welke organisatieonderdelen,<br />
niveau’s is het van toepassing)<br />
• Aanpak (identificatie risico’s en het<br />
managen ervan).<br />
• Op welke typen risico het beleid van<br />
toepassing is<br />
• Tijdspad implementatie<br />
• Relatie met organisatiestrategie<br />
• Beschrijving rand<strong>voor</strong>waarden<br />
• Rollen/verantwoordelijkheden.<br />
• Gehanteerde risicotolerantie<br />
• Anders, nl:<br />
• In . . . . (jaar)<br />
• Binnen een half jaar<br />
• Binnen 2 jaar<br />
• Er zijn geen plannen/<strong>voor</strong>nemens<br />
• Weet niet<br />
• Anders, nl<br />
• Minder dan een jaar geleden<br />
• Tussen 1 en 3 jaar geleden<br />
• Tussen 3 en 5 jaar geleden<br />
• Langer dan 5 jaar geleden<br />
• Er worden geen organisatiebrede<br />
inventarisaties uitgevoerd<br />
• Nog niet, wel van plan<br />
• Nee<br />
• Ja, namelijk:<br />
o Coso<br />
o ISO 9001/14001<br />
o anders, nl:<br />
• Weet niet<br />
De volgende vragen hebben betrekking op een aantal specifieke interne en externe<br />
ontwikkelingen, die impact kunnen hebben op de risicoagenda van de Provincie.<br />
9 Welke impact hebben de<br />
decentralisatiediscussies en<br />
afroming<strong>voor</strong>stellen vanuit het Rijk op<br />
risicomanagement?<br />
(meerdere antwoorden mogelijk)<br />
Aanpassen van risicomanagementbeleid<br />
Het opnieuw inventariseren van<br />
risico’s/kansen- beheersmaatregelen<br />
Doorberekenen van consequenties (in<br />
fte en €)<br />
Geen impact<br />
Anders, nl:<br />
67
10 Welke impact heeft de uitwerking van de<br />
economische crisis op risicomanagement?<br />
(meerdere antwoorden mogelijk)<br />
11 Welke invloed heeft (gewijzigde) wet- en<br />
regelgeving op risicomanagement?<br />
(meerdere antwoorden mogelijk)<br />
• Aanpassen van risicomanagementbeleid<br />
• Het opnieuw inventariseren van<br />
risico’s/kansen/beheersmaatregelen<br />
• Doorberekenen van consequenties (in<br />
fte en €)<br />
• Geen impact<br />
• Anders, nl<br />
• Aanpassen van risicomanagementbeleid<br />
• Het opnieuw inventariseren van<br />
risico’s/beheersmaatregelen<br />
• Aanscherpen Interne Controle<br />
• Geen impact<br />
• Anders, nl<br />
De volgende vragen hebben betrekking op de definities, zoals door uw Provincie<br />
worden gehanteerd .<br />
12 Welke definitie <strong>voor</strong> risico wordt door de<br />
Provincie gehanteerd?<br />
13 Welke definitie van risicomanagement<br />
wordt door de Provincie gehanteerd?<br />
• ___________________<br />
___________________<br />
___________________<br />
___________________<br />
___________________<br />
• Geen specifieke definitie<br />
• ___________________<br />
___________________<br />
___________________<br />
___________________<br />
___________________<br />
• Geen specifieke definitie<br />
68
II. De aanpak van risicomanagement bij uw Provincie<br />
Onderstaande vragen hebben betrekking op de aanpak en positionering van<br />
risicomanagement bij uw Provincie.<br />
14 Hoe is risicomanagement van uw Provincie<br />
het beste te omschrijven<br />
(meerdere antwoorden mogelijk)<br />
15 Wordt er gewerkt met een verklaring van<br />
het verantwoordelijk management dat hun<br />
organisatieonderdeel ‘in-control’ is?<br />
• gemanaged door specialisten.<br />
• gemanaged door specialisten,<br />
gecoördineerd door topmanagement .<br />
• volledig geïntegreerd in de<br />
lijnorganisatie<br />
• beperkte interactie tussen de<br />
verschillende gebieden van<br />
risicomanagement.<br />
• anders, nl:<br />
• Ja<br />
• Nee<br />
• Weet niet<br />
De volgende vragen hebben betrekking op de rollen en verantwoordelijkheden<br />
van risicomanagement binnen uw organisatie.<br />
16 Welke functionaris is primair<br />
• Gedeputeerde<br />
verantwoordelijk <strong>voor</strong> concernbrede risico- • Directeur<br />
identificatie en analyse?<br />
• Concerncontroller<br />
• Risicomanager<br />
• Medewerker interne controle<br />
• Ho<strong>of</strong>d Middelen (financiën)<br />
• Anders, nl…<br />
17 Welke taken heeft deze functionaris?<br />
• Opstellen risicomanagement beleid<br />
• Implementatie van aanpak<br />
(meerdere antwoorden mogelijk)<br />
• Identificeren/analyseren risico’s<br />
• Toetsen effectiviteit<br />
beheersmaatregelen<br />
• Zorgen <strong>voor</strong> afstemming tussen<br />
afzonderlijke gebieden<br />
• Rapporteren over risico’s<br />
• Anders namelijk….<br />
18 Zijn de taken en verantwoordelijkheden tav • Ja, in risicomanagement<br />
risicomanagement vastgelegd?<br />
beleid/-procedures<br />
• Ja, in de functiebeschrijving<br />
(meerdere antwoorden mogelijk)<br />
projectleiders<br />
• Ja, in functiebeschrijving managers<br />
• Nee<br />
• Anders namelijk….<br />
69
19 Worden medewerkers getraind in<br />
risicomanagement?<br />
(meerdere antwoorden mogelijk)<br />
20 Van welke externe advisering is gebruik<br />
gemaakt bij het opstellen van<br />
risicomanagementbeleid?<br />
(meerdere antwoorden mogelijk)<br />
21 Van welke externe advisering is gebruik<br />
gemaakt bij het identificeren van<br />
organisatiebrede risico’s ?<br />
(meerdere antwoorden mogelijk)<br />
22 In de paragraaf Weerstandsvermogen wordt<br />
gerapporteerd over het beleidskader en de<br />
risico´s.<br />
Zijn de in deze paragraaf opgenomen<br />
risico´s een afgeleide van de<br />
organisatiebrede inventarisatie van<br />
risico´s?<br />
23 Op de beheersing van welk soort risico’s<br />
ligt de nadruk bij uw Provincie?<br />
(meerdere antwoorden mogelijk)<br />
• Onderdeel van introductieprogramma<br />
nieuwe medewerkers<br />
• Onderdeel van managementontwikkelprogramma<br />
• Onderdeel van projectmatig<br />
werken<br />
• Training van bevorderen<br />
integraliteit tussen de verschillende<br />
risicogebieden<br />
• Er vindt geen training plaats<br />
• Anders namelijk….<br />
• accountant<br />
• gespecialiseerd adviesbureau<br />
• andere Provincie/gemeente<br />
• Ministerie Binnenlandse Zaken<br />
(BZK)<br />
• Geen gebruik gemaakt<br />
• Anders, nl….<br />
• accountant<br />
• gespecialiseerd adviesbureau<br />
• andere Provincie/gemeente<br />
• geen gebruik gemaakt<br />
• Anders, nl…<br />
• Ja<br />
• Er vindt geen organisatiebrede<br />
risico-inventarisatie plaats<br />
• Anders, nl…<br />
• Financieel<br />
• Juridisch<br />
• Personeel<br />
• Politiek/bestuurlijk<br />
• Bedrijfsvoering<br />
• Fiscaal<br />
• anders namelijk…..<br />
70
III. Het proces van risicomanagen<br />
De volgende vragen gaan over het proces van risicobeoordeling tot risicobeheersing binnen<br />
uw organisatie.<br />
24 Worden bij de Provincie risico’s integraal<br />
(in samenhang) geïdentificeerd en<br />
beoordeeld?<br />
(meerdere antwoorden mogelijk)<br />
25 Worden daarbij ook de bijbehorende<br />
beheersmaatregelen in kaart gebracht?<br />
26 Worden de geïnventariseerde risico’s<br />
gekoppeld aan de doelstellingen/resultaten<br />
van de Provincie?<br />
27 Welke technieken worden gebruikt <strong>voor</strong> het<br />
identificeren en beoordelen van risico’s?<br />
(meerdere antwoorden mogelijk)<br />
28 Worden er (kwantitatieve) criteria<br />
gehanteerd <strong>voor</strong> de beoordeling van<br />
risico’s?<br />
29 Welke hulpmiddelen worden gebruikt bij het<br />
identificeren en beoordelen van risico’s?<br />
(meerdere antwoorden mogelijk)<br />
30 Op welke wijze wordt getoetst <strong>of</strong> de risico’s<br />
voldoende worden beheerst?<br />
(meerdere antwoorden mogelijk)<br />
• 1 x per jaar<br />
• 2 x per jaar<br />
• 4 x per jaar<br />
• Alleen bij grote<br />
investeringsbeslissingen (ga naar<br />
vraag 26)<br />
• Alleen bij grote projecten (ga naar<br />
vraag 26)<br />
• Nee (ga naar vraag 26)<br />
• Anders, nl<br />
• ja<br />
• nee<br />
• Ja, zoals vastgelegd in de<br />
programmabegroting<br />
• Ja, zoals vastgelegd in de<br />
productenraming<br />
• Nee<br />
• simulatie<br />
• scenario analyse<br />
• checklists<br />
• workshops<br />
• interviews<br />
• documentstudie<br />
• geen<br />
• anders namelijk….<br />
• Nee<br />
• Ja, namelijk………<br />
• Stemkasten<br />
• Brainstorms<strong>of</strong>tware<br />
• Digitale enquêtes<br />
• Risicologboek<br />
• Koppeling aan procesinstrument<br />
• Risicodatabase<br />
• Geen<br />
• Anders namelijk….<br />
• Interne Controle<br />
• Uitvoeren van audits, door<br />
afdelingen zelf<br />
• Uitvoeren van audits, door<br />
concern<br />
• Geen toetsing<br />
• Anders, nl<br />
71
Onderstaande vragen hebben betrekking op de rapportage van risico’s binnen uw<br />
organisatie<br />
31 Benoem het aantal risico’s, zoals periodiek<br />
wordt gerapporteerd aan het directieteam<br />
32 Op welke wijze wordt er gerapporteerd over<br />
risico’s binnen uw organisatie?<br />
(meerdere antwoorden mogelijk)<br />
33 Bestaat er een top 5 <strong>of</strong> top 10 van risico’s<br />
per organisatieonderdeel<br />
(afdeling/dienst/programma)?<br />
34 Er bestaan verschillen in risicogebieden en<br />
risico’s per organisatieonderdeel.<br />
Op welke wijze wordt gerapporteerd over<br />
elkaars risico’s?<br />
35 Zijn risico’s en beheersmaatregelen in<br />
processen vastgelegd ?<br />
36 Worden de risico’s, zoals vastgelegd in<br />
processen, gemonitored?<br />
• Minder dan 5<br />
• tussen 5 en 10<br />
• tussen 10 en 20<br />
• tussen 20 en 30<br />
• meer dan 30<br />
• Er worden geen risico’s<br />
gerapporteerd aan directie<br />
• GS-nota´s<br />
• Projectplannen<br />
• Weerstandsparagraaf<br />
• Voortgangsrapportages richting<br />
Provinciale Staten<br />
• Voortgangsrapportages richting<br />
GS<br />
• Anders namelijk….<br />
• Ja, een top 5<br />
• Ja, een top 10<br />
• Nee, wel een top . . . .<br />
• Nee<br />
• Ad-hoc discussies tijdens<br />
managementoverleggen<br />
• Vast agendaonderdeel tijdens<br />
managementoverleggen<br />
• Schriftelijke risicorapportages, op<br />
reguliere basis<br />
• Data, toegankelijk in een<br />
risicodatabase<br />
• Er wordt niet gerapporteerd over<br />
elkaars risico’s<br />
• Anders, nl:<br />
• ja<br />
• nee (Einde vragenlijst)<br />
• Ja<br />
• nee<br />
Als u nog vragen, opmerkingen heeft, kunt u deze hier kwijt<br />
72
Bijlage 3. Nederlandse Normcommissie <strong>Risicomanagement</strong><br />
Nederlandse Normcommissie <strong>Risicomanagement</strong><br />
Achtergrond<br />
Door de International Organization for Standardization (ISO) is medio 2005 besloten een<br />
internationale generieke ISO-richtlijn <strong>voor</strong> <strong>Risicomanagement</strong> te ontwikkelen: ISO 31000<br />
“Risk management - Guidelines for principles and implementation <strong>of</strong> risk management.”<br />
Daar<strong>voor</strong> is een werkgroep opgericht waarvan Japan het secretariaat voert en waar<strong>voor</strong><br />
Australië de <strong>voor</strong>zitter levert. ISO 31000 beoogt een gemeenschappelijk begrippenkader<br />
en generiek raamwerk te bieden <strong>voor</strong> het managen van allerlei typen risico’s. Naderhand<br />
is ook de herziening van ISO Guide 73 “Risk Management – Vocabulary” aan de ISOwerkgroep<br />
toevertrouwd. Via NEN, het Nederlandse lid van ISO, wordt door Nederlandse<br />
belanghebbende partijen deelgenomen aan dit ISO-project. Hiertoe is in 2006 de<br />
normcommissie <strong>Risicomanagement</strong> opgericht.<br />
Doelstelling van de normcommissie<br />
1. Het verzorgen en bepalen van de Nederlandse inbreng bij de internationale<br />
normalisatie op het gebied van <strong>Risicomanagement</strong> (Risk Management), zoals die<br />
plaatsvindt in de internationale werkgroep ISO/TMB/WG/RM.<br />
2. Faciliteren van de implementatie en toepassing van de generieke ISO-richtlijn op<br />
nationaal en bedrijfstakniveau, zo nodig door het ontwikkelen van specifieke richtlijnen<br />
die een nadere invulling geven van het generieke ISO-kader <strong>voor</strong> risicomanagement.<br />
Werkwijze<br />
De nationale normcommissie vergadert circa 4 maal per jaar een halve dag (mede<br />
afhankelijk van de internationale ontwikkelingen) om aan beide doelstellingen invulling te<br />
kunnen geven. Daarnaast stelt de normcommissie de Nederlandse delegatie naar de<br />
vergaderingen van de internationale werkgroep vast. Op die manier kunnen Nederlandse<br />
experts een rechtstreekse inbreng leveren bij de ontwikkeling van de internationale<br />
richtlijn.<br />
Looptijd<br />
De ontwikkeling van ISO 31000 zal circa 4 jaar in beslag nemen; het proces is medio 2005<br />
gestart en volgens planning zullen ISO 31000 en ISO Guide 73 najaar 2009 in hun<br />
definitieve vorm verschijnen. Parallel en in vervolg daarop zal de normcommissie zich<br />
beraden op de noodzaak meer specifieke richtlijnen te ontwikkelen en andere activiteiten<br />
te ontplooien ten behoeve van de implementatie van ISO 31000 op nationaal en<br />
bedrijfstakniveau.<br />
Faciliterende rol NEN<br />
NEN verzorgt het secretariaat van de normcommissie en vertegenwoordigt Nederland in<br />
de internationale werkgroep. De hiermee verbonden kosten komen <strong>voor</strong> rekening van de<br />
in de normcommissie deelnemende partijen.<br />
Deelnemende partijen in de normcommissie <strong>Risicomanagement</strong><br />
Op dit moment participeren de volgende organisaties in de normcommissie:<br />
− Philips;<br />
− <strong>Genootschap</strong> <strong>voor</strong> <strong>Risicomanagement</strong>;<br />
− Essent NV;<br />
− Bouwend Nederland/Risnet;<br />
− KEMA;<br />
− TenneT BV;<br />
− RPS Advies BV;<br />
73
− KDI BV;<br />
− DHV;<br />
− Ministerie van VROM, Directie Externe Veiligheid;<br />
− Narim;<br />
− Akzo Nobel;<br />
− Nivra;<br />
− Nibe-SVV;<br />
− Equens;<br />
− NAR.<br />
74
Bijlage 4. Artikel ‘risicomanagement rukt op’<br />
Politiek magazine, nummer 2, najaar 2008<br />
75