Risicomanagement bij provincies
5 september 2012 om 14:33 0 reacties
Verschillende (externe en interne) ontwikkelingen zorgen ervoor dat de provincies meer dan ooit aandacht moeten geven aan een gestructureerde, integrale aanpak van risicomanagement. In dit artikel wordt verslag gedaan van een onderzoek waarbij is geanalyseerd wat de kritische succesfactoren zijn van risicomanagement bij provincies en in hoeverre ISO 31000 een nuttig raamwerk is voor de opzet van risicomanagement.
ISO 31000 is in beginsel een geschikt instrument voor een provinciale toepassing van risicomanagement. De generieke opzet van ISO 31000 komt tegemoet aan de behoefte aan een gestructureerde aanpak van risicomanagement bij provincies. Het sluit aan bij de complexe besluitvormingsprocessen van de provinciale overheid en de sterk veranderende risicoagenda van provincies. Randvoorwaardelijk voor een succesvolle toepassing van risicomanagement bij provincies is dat in ieder geval wordt voldaan aan vier succesfactoren, die voor een belangrijk deel aansluiten bij de uitgangspunten van ISO 31000. Risicomanagement is bij provincies nog onvoldoende strategisch gepositioneerd en beweegt vanwege de versnipperde aanpak nog niet voldoende mee met de veranderende externe omgeving. Of het dient als een geschikt raamwerk of functioneert als een kooi (een ‘checklist’ en de schijnzekerheid over ‘in control’) is geheel afhankelijk van de mate waarin provincies zelf invulling geven aan de positionering van risicomanagement binnen de organisatie (structuur) en (het verbeteren van) het draagvlak voor risicomanagement bij het management (cultuur). |
Sterk veranderende risicoagenda
Het niet adequaat managen van risico’s heeft in het recente verleden grote gevolgen gehad voor politiek gevoelige dossiers bij provincies. Zo speelde bijvoorbeeld in de provincie Zuid-Holland de Ceteco-affaire, waarbij achteraf bleek dat de provincie op grote schaal in geld handelde, zonder dat Provinciale Staten hiervan wisten. In de provincie Gelderland was sprake van een affaire rond het evenementenbeleid, waarbij geld is toegekend voor activiteiten, die – in strijd met de regels – niet waren goedgekeurd door Provinciale Staten. Ook de kredietcrisis laat zien dat niet alleen in de financiële wereld sprake is van een toenemende behoefte aan een adequaat functionerend risicomanagement. In de loop van 2008 bleek dat gemeentelijke en provinciale overheden vele miljoenen euro’s hadden uitstaan bij IJslandse banken. Een onderzoek1 naar het financiële beleid van de provincie Noord-Holland concludeerde dat de provincie ten onrechte geen actief risicomanagement voerde. De uitkomsten van dit onderzoek leidden tot het aftreden van het voltallige College van gedeputeerde Staten in juni 2009.
Verschillende ontwikkelingen zorgen ervoor dat de provincies meer dan ooit aandacht moeten geven aan een gestructureerde, integrale aanpak van risicomanagement. Bij deze risicoagenda van provincies is een onderscheid te maken tussen vijf ontwikkelingen. Allereerst toont de actualiteit van de economische crisis de kwetsbaarheid aan van (regionale) overheden. Een tweede actueel thema dat het risicomanagement bij provincies rechtvaardigt, is de afroming van rijksuitkeringen; met als meest sprekend voorbeeld de rapporten ‘brede heroverwegingen’, zoals begin april aan de Tweede Kamer zijn aangeboden. Op twintig beleidsterreinen zijn beleidsvarianten met besparingmogelijkheden geïnventariseerd. Een derde ontwikkeling betreft de rapporten van de commissies Mans2, Oosting3, Lodders4 en d’Hondt5, waarin wordt ingegaan op de bestuurlijke ontwikkelingen in Nederland. Wie deze leest en op zich laat inwerken, komt tot de conclusie dat de veranderingen in de komende vijf tot zeven jaar zeer groot kunnen zijn, waarvan overheveling van taken en verantwoordelijkheden een belangrijk deel uitmaken. Flexibel in kunnen spelen op veranderingen en het tijdig beoordelen van consequenties van risico’s en kansen is daarbij van groot belang. De veranderende wet- en regelgeving hebben vanzelfsprekend ook impact op het managen van risico’s bij provincies. Door wetten en regels te stellen worden risicovolle activiteiten van provincies beperkt of verboden.
Als vijfde en laatste ontwikkeling kan de ontwikkeling van een code voor goed openbaar bestuur worden genoemd. Die is bedoeld voor besturen van het rijk, provincies, gemeenten, waterschappen en politie. met deze code maken organisaties in het openbaar bestuur duidelijk dat zij op basis van dezelfde beginselen van goed bestuur willen handelen en optreden.
Toenemende behoefte aan raamwerk
Het is van belang is om te benoemen dat de strategische context van provincies op onderdelen wezenlijk verschilt van die van private organisaties. Met name de turbulente externe omgeving van provincies en de koppeling van doelstellingen aan een politieke vierjaarscyclus zorgt ervoor dat bij een succesvolle toepassing van risicomanagement niet alleen kan worden volstaan met het doorlopen van de stappen van het risicomanagementproces. Het wordt voor provincies steeds belangrijker risicomanagement als instrument te hanteren om te prioriteren, kansen te benutten en om in te zetten als sturingsmiddel om mensen en processen te richten op het bereiken van de (coalitie)doelstellingen. Met een falende risicobeheersing komt de legitimiteit van de provincie in het geding.
Met het toenemende belang van – en daardoor belangstelling voor – risicomanagement bij provincies neemt ook de behoefte toe aan een raamwerk. Centraal daarbij staat niet alleen het ontwikkelen van risicomanagementbeleid, maar vooral het beschikken over een goed instrument om processen, activiteiten en de hieraan verbonden risico’s te managen, zodat deze aansluiten bij de vastgestelde doelstellingen.
Zonder draagvlak geen succesvol risicomanagement
Er zijn in het verleden al tal van raamwerken ontwikkeld om bedrijven en organisaties te helpen om hun risico’s te managen. Een risicoraamwerk is het kader dat ervoor moet zorgen dat risicomanagementprocessen zijn ingebed in de algehele managementstructuur en besluitvormingsprocessen van de organisatie en dat ze worden aangestuurd vanuit een duidelijke visie en beleid op de functie van risicomanagement voor de organisatie. De grote hoeveelheid aan publicaties suggereert dat een risicoraamwerk een gemakkelijk te ontwikkelen instrument is, waar je na implementatie als organisatie snel beter van wordt. Het tegendeel blijkt waar. Risicomanagement binnen non-profitorganisaties vindt veelal intuïtief plaats.6 Vaak ontbreekt het aan een duidelijk beeld over de toegevoegde waarde van risicomanagement, zowel op bestuurlijk niveau als op operationeel niveau.7
Onderzoek
Er is nauwelijks onderzoek gedaan naar de toepassing van risicomanagement bij de provinciale overheid in Nederland, met specifieke aandacht voor de invloed van de politiek-bestuurlijke context op het managen van risico’s. De doelstelling van het afstudeeronderzoek – waarvan in dit artikel verslag wordt gedaan – was om inzicht te krijgen in de geschiktheid van ISO 31000 als instrument voor de toepassing van risicomanagement bij de provinciale overheid. De kritische succesfactoren zijn gebaseerd op de uitgangspunten van ISO 31000. Het onderzoek vormde de afronding van een MBA-opleiding.
(Plan, Do, Check,) Act like ISO
Het lijkt erop dat met het opstellen van de internationale standaard ISO 31000 voor het organisatiebreed managen van risico’s een belangrijke stap is gezet naar de gewenste koppeling tussen doelstellingen en beheersing van processen, zoals in het kader in figuur 1 is weergegeven. ISO 31000 geeft een complete beschrijving van de verschillende zaken die relevant zijn voor risicomanagement. Daarbij wordt niet alleen ingezoomd op het risicomanagementproces, maar ook op de context ervan, waarin mandaten worden afgegeven door opdrachtgevers en waarbij stakeholders nadrukkelijk worden betrokken bij het proces.
Drie niveaus van risicomanagement in figuur 1 is het belang van een adequate koppeling van risicomanagement en het bereiken van doelen, schematisch weergegeven. De koppeling van strategische risico´s aan de operationele beheersing in processen is hierin leidend. Het toont aan dat risicomanagement in een organisatie plaatsvindt op alle niveaus binnen de organisatie. Hierbij wordt ervan uitgegaan dat risicomanagement in ieder geval drie toepassingsniveaus heeft:
De figuur laat het belang zien van een organisatiebrede benadering van risicomanagement bij provincies. Organisatiebreed risicomanagement gaat uit van een benadering waarbij het risicomanagement op basis van haar bijdrage aan de realisatie van de organisatiedoelstellingen wordt geïntegreerd en gecoördineerd over de gehele organisatie. Vaak ontbreekt het overigens aan een duidelijk beeld over de toegevoegde waarde van risicomanagement, zowel op bestuurlijk als op operationeel niveau. Als de verschillende lagen in een organisatie onvoldoende beseffen waarom aan risicomanagement wordt gedaan en wat dit kan bijdragen aan hun functioneren, zal men ook geen risicobewuste cultuur gaan uitdragen. |
Een ISO-richtlijn als overkoepelend raamwerk voor risicomanagement lijkt voor de hand te liggen. De verschillende afzonderlijke ISO-normen voor managementsystemen, zoals ISO 9001 en ISO 14001, beschrijven immers al systemen voor het beheersen van specifieke risico’s, waarbij de verschillende stappen uit de risicomanagementcyclus (risico-identificatie, risicoanalyse, beheersing en monitoring risico’s en bijsturen) moeten worden doorlopen. Om als effectief instrument te kunnen dienen, benoemt ISO 31000 onder meer de volgende uitgangspunten voor risicomanagement:
- Het voegt waarde toe en draagt bij aan organisatieverbetering.
- Het is een integraal onderdeel van (besluitvormings) processen.
- Het is maatwerk, passend bij de organisatiecontext.
- Het is een systematisch en op feiten gebaseerd proces.
- Het is open en transparant en houdt rekening met menselijke en culturele factoren.
De eerst drie kenmerken vormen de basis voor het raamwerk van risicomanagement, de laatste twee zijn vooral terug te vinden in het risicomanagementproces (zie figuur 2).
Figuur 2. Onderlinge samenhang van de onderdelen van ISO 31000 Bron: NEN, 2008 |
Het managementsysteem zoals beschreven in de verschillende normen zijn in de kern risicomanagementsystemen voor specifieke risico’s, zoals kwaliteits- en milieurisico’s. Deze normen voor managementsystemen beschrijven wat een organisatie moet doen om de (risicoaspecten van) haar processen en activiteiten te managen, zodat de resultaten en uitkomsten aansluiten bij de vastgestelde doelstellingen. goede managementsystemen zijn gebaseerd op twee principes: de procesbenadering en de Demingcirkel (Hortensius, 2003). De procesbenadering houdt in dat de bedrijfsprocessen uitgangspunt zijn voor de inrichting van het managementsysteem. De Demingcirkel betreft de opeenvolgende fasen van een proces (Plan, Do, Check, act) dat is gericht op het realiseren van doelen op een steeds effectievere en efficiëntere manier. Door de Demingcirkel steeds opnieuw te doorlopen, en de daarmee behaalde resultaten, kunnen managementsystemen worden verbeterd. als managementsysteem is ISO 31000 dan ook op de Demingcirkel en op een procesbenadering gestoeld. ISO 31000 bestaat uit drie hoofdonderdelen: (1) de uitgangspunten voor risicomanagement, (2) het raamwerk voor risicomanagement en (3) het risicomanagementproces.
Vier kritische succesfactoren
Op basis van het uitgevoerde literatuuronderzoek blijkt dat met name de volgende cultuur- en structuuraspecten belangrijk zijn als kritische succesfactor voor een succesvolle toepassing van risicomanagement bij provincies:
- Verantwoordelijkheden met betrekking tot risicomanagement zijn belegd op strategisch, tactisch en operationeel niveau.
- Er is sprake van een organisatiebreed risicobewustzijn, op zowel strategisch, tactisch en operationeel niveau.
- Risicomanagement maakt onderdeel uit van (besluitvorming)processen.
- Risicomanagement sluit aan bij de doelstellingen van de provinciale organisatie.
Deze kritische succesfactoren zijn vervolgens getoetst door middel van enquêtes en interviews bij de provincies. De (interview)vragen hadden betrekking op de wijze waarop provincies invulling geven aan de drie onderdelen van de iSO 31000-norm:
- uitgangspunten voor risicomanagement;
- raamwerk voor risicomanagement;
- risicomanagementproces.
Resultaten onderzoek
Op basis van het onderzoek kunnen op basis van de kritische succesfactoren de volgende conclusies worden getrokken voor de toepassing van ISO 31000 als instrument voor risicomanagement bij provincies:
1 Het beleggen van verantwoordelijkheden
- Risicomanagement is nog onvoldoende ingebed in de managementstructuur en besluitvormingsprocessen van provincies. Als voorbeeld kan dienen dat er slechts sporadisch periodiek organisatiebreed wordt gerapporteerd over (de voortgang) van de meest prioritaire risico’s. ISO 31000 benadrukt juist dat risicomanagement moeten worden ingebed in de besturings- en besluitvormingsprocessen van een organisatie.
- Risicomanagement wordt bij provincies in toenemende mate aangestuurd vanuit een strategische visie en beleid op de functie van risicomanagement voor de organisatie, zonder dat er overigens een gestructureerde organisatiebrede aanpak voorhanden is. Ondanks de risicoagenda van de provincies is het opvallend dat een kwart van de provincies nog steeds geen formeel risicomanagementbeleid heeft opgesteld. Hierdoor ontbreekt het aan uniforme kaders en aanpak om risicomanagement organisatiebreed te borgen binnen de organisatie. ISO 31000 stelt dat er een duidelijk risicobeleid moet zijn vastgesteld, dat aansluit bij het algehele beleid van de organisatie.
2 Een organisatiebreed risicobewustzijn
- Risicomanagement reageert nog onvoldoende dynamisch op verandering. Ondanks het risicovolle en kansrijke karakter hebben recente externe ontwikkelingen nauwelijks invloed op het gevoerde risicomanagement. Bij vijf provincies heeft de veranderende externe context geen invloed op risicomanagement. Opmerkelijk is het te noemen dat de – risicovolle – ontwikkelingen die op (middel)lange termijn de organisatie raken, bij een groot aantal provincies geen invloed hebben op het gevoerde risicomanagement. ISO 31000 kan daarbij helpen, omdat daarin het belang van de bepaling van de externe context wordt benadrukt.
- Hoewel bij het merendeel van de provincies de behoefte bestaat aan structurering van de versnipperde aanpak van risicomanagement, worden risico’s veelal nog gemanaged binnen afzonderlijke functionele gebieden in plaats van organisatiebreed.
Aan de respondenten is gevraagd hoe het risicomanagement bij hun provincie het beste is te omschrijven. In figuur 3 zijn de resultaten weergegeven van de antwoordcategorieën.
Figuur 3. Omschrijving van risicomanagement (N=12) |
Een grote meerderheid (zeven provincies) geeft aan dat er een beperkte interactie is tussen de afzonderlijke gebieden van risicomanagement. Het geeft het beeld dat risico’s gefragmenteerd worden geïdentificeerd en onafhankelijk van elkaar beoordeeld vanuit separate, gespecialiseerde functies en afdelingen. Eén provincie geeft aan dat er een integraal risicomanagementoverleg is ingesteld, met een periodieke afstemming over risicomanagement op zowel strategisch, tactisch als operationeel niveau.
Risicomanagement wordt bij provincies nog sterk traditioneel ingestoken vanuit een verplichte externe verantwoordingsbehoefte in de paragraaf Weerstandsvermogen, waarin jaarlijks de financiële risico’s en de aanwezige capaciteit wordt beschreven. ISO 31000 benadrukt de noodzaak van een organisatiebreed risicomanagement, zodat risicomanagement kan worden ingebed in alle werkwijzen en processen van de organisatie.
3 Onderdeel van processen
- Bij provincies ligt de nadruk met name op de risico-inventarisatie en risicoanalyse en minder op de beheersing van de getroffen maatregelen. Terwijl juist het monitoren van risicobeheersing kan zorgen voor een tijdige bijsturing. ISO 31000 benoemt dat monitoring en beoordeling als onderdeel van het risicomanagementproces periodiek of ad hoc dient te worden uitgevoerd.
4 Koppeling aan doelstellingen
- Bij acht provincies vindt er een expliciete koppeling plaats van de geïnventariseerde risico’s met de doelstellingen, zoals opgenomen in de Programmabegroting van de betreffende provincie.
Drs. René Bosman MBA is als senior Finance & Control werkzaam bij de provincie Limburg.
Noten
1 ‘Triple R, regels, Rendement en Risico’, provinciale onderzoekscommissie Noord-Holland, 29 mei 2009.
2 ‘De tijd is rijp’, commissie Mans, 10 juli 2008.
3 ‘Van specifiek naar generiek’, commissie Oosting, 8 oktober 2007.
4 ‘Ruimte, regie en rekenschap’, commissie Lodders, 17 maart 2008.
5 ‘Vertrouwen en verantwoorden’,’ commissie d’Hondt, 4 juni 2008.
6 Herman, M.L., Managing risk in nonprofit organizations (2004).
7 Marle, E. van, Haisma, G. ISO 31000 stimuleert integraal risicomanagement (2009).