slogan: PLATFORM VOOR PUBLIC GOVERNANCE, AUDIT & CONTROL

Risicomanagement in de turbulentie van het oprichten van de emissieautoriteit

Risicomanagement in de turbulentie van het oprichten van de emissieautoriteit

8 januari 2013 om 13:29 door Rock Klaar, Crist-Jan Manniƫn 0 reacties

Volgens het Kyoto-protocol is Nederland verplicht om de uitstoot van broeikasgassen, waaronder koolstofdioxide (CO2), in de periode 2008-2012 ten opzichte van 1990 met 6 procent terug te dringen. En als gevolg van Europese afspraken mag in 2010 de grote industrie in Nederland niet meer dan 55.000 ton stikstofoxiden (NOX uitstoten, terwijl de uitstoot nu nog 90.000 ton bedraagt.

Op 28 september heeft de Eerste Kamer het wetsvoorstel voor C02-emissiehandel aanvaard waardoor op 1 januari 2005 de wetgeving voor de handel in C02-emissierechten in werking zal treden. Vanaf die datum moeten bedrijven die meedoen aan emissiehandel een emissievergunning hebben. Emissiehandel is de handel in emissierechten. Emissierechten geven bedrijven of landen het recht om bepaalde broeikasgassen of andere schadelijke gassen uit te stoten. Deze handel gaat plaatsvinden tussen bedrijven in de zware industrie die veel van deze stoffen uitstoten.

Het gaat in dit artikel om het risicomanagement van de organisatie die verantwoordelijk is voor de inrichting van de organisatie in termen van besturingsmodel, werving en selectie, kantoorautomatisering, huisvesting, baten-lastenadministratie, bouw van een geautomatiseerd register etcetera. Daarnaast is de organisatie verantwoordelijk voor het ontwerp van de inrichting van het primaire proces en – nog voordat de NEa formeel van start is gegaan - voor een belangrijk deel van de uitvoering. Deze organisatie - de Nederlandse Emissieautoriteit in oprichting, kortweg NEa i.o. - wordt door het ministerie van VROM en mede namens het ministerie van EZ opgericht om toezicht te houden op de bedrijven, het Nederlandse 'rechtenregister' te beheren en vergunningen te verlenen.

Crist-Jan Manniën en Rock Klaar zijn als respectievelijk hoofd Bedrijfsbureau van de NEa en adviseur van het adviesbureau Palladio verantwoordelijk voor de inrichting van de organisatie naar de twaalf instellingsvoorwaarden die het Rijk stelt aan batenlastendiensten. Onderdeel van het traject is het uitvoeren van een risicoanalyse en het ontwikkelen van risicomanagement. Dit artikel bespreekt achtereenvolgens het hoofdproces van de NEa, de gehanteerde theorie van risicoanalyse en de opgedane ervaringen gedurende het proces. Deze case heeft een bijzonder karakter vanwege de hoge tijdsdruk waaronder de wetgeving tot stand kwam, de interne processen op gang kwamen, het geautomatiseerde register gebouwd werd en de organisatiestructuur werd ontworpen.

Het primaire proces
Het ministerie van VROM en het ministerie van Economische Zaken hebben een zogenaamd toewijzings- of allocatieplan voor CO2 opgesteld. In dit eerste plan, dat van 2005 tot en met 2007 loopt, staat hoeveel emissierechten de betrokken bedrijven krijgen toebedeeld. Op basis van het plan neemt de overheid een besluit waarin formeel wordt vastgelegd welke bedrijven de verplichtingen op grond van de Europese richtlijn krijgen opgelegd. In het besluit wordt ook aangegeven hoeveel rechten die bedrijven krijgen voor de gehele periode van het plan.

Vergunningverlening
Na publicatie van het besluit konden de betrokken bedrijven tot 1 oktober bij de NEa i.o. een monitoringsprotocol indienen. Het monitoringsprotocol beschrijft hoe een bedrijf de jaarlijkse emissies bepaalt en is tevens de aanvraag van een emissievergunning. Deze vergunning is nodig om per januari 2005 mee te kunnen doen met de emissiehandel. Wordt de vergunning verleend (en dus het protocol goedgekeurd) dan moet het bedrijf volgens dit protocol meten. Het bedrijf meldt vervolgens jaarlijks zijn emissies in een emissiejaarrapport aan de NEa i.o.

Beheer Rechtenregister
Namens de overheid verleent de Nederlandse Emissieautoriteit aan het begin van elk jaar een deel van de emissierechten aan de deelnemers aan emissiehandel. Dit gebeurt door het bijschrijven van rechten in het rechtenregister op naam van de bedrijven. De NEa heeft als onafhankelijke organisatie de taak toezicht te houden op de emissiehandel in CO2 (en later ook NOX).
Eén emissierecht staat gelijk aan de emissie van 1000 kg CO2. Ieder bedrijf kan op basis van zijn emissiejaarrapport dus bepalen hoe hoog zijn emissie was en hoeveel rechten hij moet inleveren. Doordat emissierechten verhandelbaar zijn, kunnen bedrijven bij een dreigend tekort tijdig rechten aankopen van bedrijven die rechten overhouden. Een bedrijf kan dus zelf de afweging maken op welke wijze de reductie wordt gehaald: hetzij door maatregelen in het eigen bedrijf, hetzij door de reducties in de vorm van emissierechten van een ander bedrijf te kopen.

Toezicht
De Nederlandse Emissieautoriteit controleert hoeveel C02-bedrijven uitstoten en of bedrijven die meer uitstoten over voldoende extra emissierechten beschikken. De Nederlandse Emissieautoriteit legt boetes op aan bedrijven die onvoldoende emissierechten inleveren.

De Methodiek van risico's analyseren

Algemeen
De meeste risico's worden reeds door uitgebreide wet- en regelgeving beheerst. Voorbeelden daarvan zijn te vinden in de zogenaamde Voorschriften Informatiebeleid Rijksoverheid (VIR), het Integriteitbeleid en de Comptabiliteitswet. Zo zijn er voor verschillende disciplines even zoveel risicobeheersingstradities. Deze generieke, door disciplines verdeelde maatregelen zijn veelal voortgekomen uit specifieke incidenten. Zo is de VIR in het leven geroepen door een incident waarbij het ministerie van Justitie oude pc's afdankte zonder de harde schijven op inhoud te controleren. Het recente incident waarbij misdaadverslaggever Peter R. de Vries via een ijverige taxichauffeur de hand wist te leggen op vertrouwelijke gegevens uit een bij het grofvuil gedumpte privé-computer van een officier van het Openbaar Ministerie, zal op analoge wijze het aandachtsgebied verder verleggen naar de persoonlijke sfeer van ambtenaren.
De uitgebreide wet- en regelgeving op dit gebied levert enerzijds vanwege het standaardiserende karakter voordelen op: men hoeft het wiel niet iedere keer opnieuw uit te vinden. Anderzijds brengt het generaliserende karakter met zich mee dat de getroffen maatregelen vaak niet in verhouding staan tot de risico's. De versplintering van risicobeleid brengt bovendien met zich mee dat risico's tussen twee aandachtsgebieden in liggen en daardoor ofwel dubbel of helemaal niet beheerst worden. Daar komt nog bij dat de kans levensgroot aanwezig is dat deze maatregelen de focus van het risicomanagement bepalen. Hierdoor dreigen de werkelijke risico's uit het vizier te verdwijnen.

Theorie
Bij de NEa is een theoretisch model gehanteerd om de risico's in kaart te brengen. In de kern richt het model zich op kansen en bedreigingen van de centrale doelstellingen van de organisatie. Het risicomanagement is daarmee een aangelegenheid geworden van de directie. Een ander evenzo belangrijk uitgangspunt is dat risico's niet geïsoleerd maar in onderlinge samenhang en afhankelijkheid worden geanalyseerd en beheerst. Het vertrekpunt van de analyse is de vertaling van de doelstellingen in kritieke succesfactoren (SF) per stakeholder.
Bij het analyseren van de invloed die de ontwikkelingen in de omgeving op de doelstellingen van de organisatie heeft, wordt gebruik gemaakt van de Balanced Scorecard-theorie van Kaplan en Norton (1996). Hierin worden de verschillende stakeholders belicht. Dit is met name van belang voor het onderscheiden van de onderwerpen van bedreiging per stakeholder. Zoals de naam al zegt gaat het hier om het uitbalanceren van de belangen.

Stereotypische invalshoeken van stakeholders
Kaplan en Norton gebruiken in hun theorie stereotypische beelden voor bedrijven met een winstoogmerk. Voor de overheid valt een viertal andere stereotypische invalshoeken te onderkennen. In de eerste plaats verschillen de stakeholders bij de overheid, en ten tweede is er geen sprake van een winstoogmerk. In de ksf's van een overheidsorganisatie wordt rekening gehouden met belangen van het kerndepartement die te maken hebben met kosten in relatie tot kwaliteit en met de beleidseffectiviteit. In de ksf's ten behoeve van de interne organisatie komen flexibiliteit en innovatief vermogen tot uiting. De doelgroep ksf's staan in verband met hun belang van snelle uitvoering en minimale administratieve lasten. De politiek en de maatschappij zijn met name geïnteresseerd in ksf's waarin de doelbereiking ofwel de beleidseffectiviteit tot uiting komt. Overigens kan de uitvoeringsorganisatie een goede uitvoerder zijn zonder dat er sprake is van voldoende doelbereiking. Andersom hoeft een slechte uitvoering de doelbereiking niet per se in de weg te staan. Desalniettemin is het verstandig om de beleidseffectiviteit te meten.

Bij de analyse wordt voorts gebruik gemaakt van de zogenaamde SWOT-analyse (Strength-Weakness- Opportunity-Threat). Door toepassing van de SWOT- methode wordt rekening gehouden met de specifieke risico's die de organisatie loopt als gevolg van de ontwikkelingen in de beïnvloedende omgeving en met de sterktes en zwaktes van de eigen organisatie. Onderwerp van bedreiging zijn de doelstellingen waarvan kritieke succesfactoren afgeleid worden. De dreiging grijpt aan in een proces waarin onderscheid kan worden gemaakt in input, throughput, output en outcome.

Wanneer de bedreigingen van de doelstellingen (risico's) in kaart zijn gebracht, wordt een prioriteitstelling gemaakt op basis van de kans dat het risico zich kan voordoen en op de hoogte en het karakter van de schade. Vervolgens wordt nagegaan hoe de schade financieel wordt afgedekt. Daarbij wordt niet alleen naar balanstechnische reserves en voorzieningen gekeken maar ook naar financiële afspraken met de opdrachtgever voor de taak en eigenaar van de organisatie.
In de volgende stappen wijst de directie een risicoverantwoordelijke binnen de organisatie aan die beheersmaatregelen ontwikkelt, ze voorlegt aan het management en rapporteert over de uitvoering. Afhankelijk van de turbulentie van de organisatie of de omgeving kan het nodig zijn om met een frequentie van een maand tot drie maanden de risicobeheersing te bespreken en eventueel bij te stellen.

Het risicomanagement zal uiteindelijk onderdeel moeten gaan uitmaken van de planning- en controlcyclus. Door het gehele proces van omgevingsanalyse en risico-inventarisatie in sessies met het managementteam te doorlopen, gaat risicomanagement deel uitmaken van de integrale verantwoordelijkheid van het management.

In figuur 1 worden de stappen schematisch weergegeven.

TPC december 2004 blz 44.JPG
Figuur 1. Schematisch voorstelling van het risicoanalysemodel (klik op figuur voor vergroting).

Casuïstiek van de Nederlandse Emissieautoriteit
De eerste risicoanalyses werden gemaakt in februari 2004, een periode waarin de Nederlandse Emissieautoriteit (NEa) slechts bestond uit een kwartiermakerteam van vijf mensen. De wet die de autoriteit zou moeten gaan uitvoeren was op dat moment nog slechts in concept gereed. In een brainstormsessie van anderhalf uur werden alle denkbare risico's die spontaan bij de deelnemers opkwamen genoteerd en gegroepeerd. Daarbij werd onderscheid gemaakt tussen risico's die betrekking hadden op het inrichten en opzetten van de NEa (veranderingsproces) en risico's die zich voordoen zodra de NEa een zelfstandig bestuursorgaan is (staande organisatie). Teneinde ook de sterke kanten van het kwartiermakersteam te verankeren, werd ook stilgestaan bij de factoren die tot die tijd bepalend zijn geweest voor de voortvarendheid waarmee het proces van oprichten gelopen was. Ook werd bezien of het team voldoende gebruik maakte van de positieve ontwikkelingen in haar omgeving. De analyse richtte zich op de centrale doelstelling t.w.: Bedrijfsklaar zijn voor de uitvoering van de emissiewetgeving. In het theoretisch model van figuur 1 vormt dit het proces waarop de stakeholders en de interne organisatie invloed op uitoefenen. Deze strategische doelstelling werd ten behoeve van het onderzoeken van bedreigingen ontrafeld in meer operationele doelstellingen zoals weergegeven in onderstaande doelenboom.

Centrale doelstelling Operationele doelstelling Voorwaardelijkheden

Op 1 januari 2005
Van start gaan

  • wetgeving op orde
  • organisatie op orde
1. Operationeel hebben van register

Beveiligde ICT-omgeving rondom online register
Samenwerking met andere landen en EU
Uitbesteden technisch beheer

2. Beoordelen 300 monitoringsprotocollen Kennis opbouwen
Commitment bedrijfsleven
Politieke medewerking in parlementaire besluitvorming
Voldoende capaciteit (inhuren/ werven)
3. Toezichtsprotocol gereed Commitment van department
Medewerking toezichtspartners
Afstemming VROM-Inspectie, OM, Provincies
Werven en selecteren
4. Starten proefjaar batenlastendienst Kennis opbouwen Baten/lasten

Tabel 1.

Op basis van deze analyse kunnen de onderlinge verbanden tussen strategische en operationele doelstellingen gemakkelijk beoordeeld worden op kansen, bedreigingen, sterktes en zwaktes.

In mei 2004 volgde een tweede sessie. Daarbij werden met behulp van het theoretische model de bedrijfsprocessen één voor één langsgelopen op zoek naar nieuwe risico's. Het resultaat bestond uit een groslijst van 31 risico's in het veranderingstraject en 19 risico's in de staande organisatie. Ten slotte volgde in juni een derde sessie met als doel beheersmaatregelen te formuleren en verantwoordelijken aan te wijzen. Voor de prioriteitstelling werden eerst de belangrijkste risico's geïnventariseerd. Hiertoe werden de risico's ingeschat op hun kans van voordoen maal de ernst van hun effect. Bijzonder was dat het managementteam ervoor koos om ook risico's een hoge prioriteit te geven die weliswaar een kleine kans hebben om zich voor te doen, maar waarvan de gevolgen zo ernstig zijn dat ze het bestaan van de organisatie bedreigen.

Tijdens de sessie bleek het ook noodzakelijk te zijn om onderscheid te maken tussen risico's waarvoor de NEa zelf een oplossing moet formuleren en risico's die de NEa weliswaar bedreigen maar die niet op de weg van de NEa liggen om ze te helpen voorkomen of te beheersen. In dat laatste geval blijft de rol van de NEa immers beperkt tot het signaleren van de risico's bij derden, bijvoorbeeld bij de juristen van het ministerie die werken aan de wetsvoorstellen.
De inventarisatie leverde vijf belangrijke risico's op voor het veranderingstraject en vijf voor de staande organisatie. Voor ieder van deze risico’s werden beheersmaatregelen geformuleerd. Uiteraard had het de voorkeur om de beheersmaatregelen zo concreet mogelijk te maken. De meeste risico's hadden echter nog een globaal en theoretisch karakter omdat de NEa op dat moment uit niet veel meer bestond dan plannen en voornemens. De beheersmaatregelen bestonden daardoor veelal uit procedurele acties, zoals het maken van een calamiteitenplan voor de ontwikkeling van het digitale register. Daarnaast werd aan iedere beheersmaatregel een verantwoordelijke uitvoerder gekoppeld om het risicobeleid in de organisatie te verankeren.

Na de junisessie werd het document intern besproken en vastgesteld. Drie maanden later bleken alle maatregelen ter voorkoming van de risico's meegenomen in de werkprocessen. De beheersmaatregelen blijken echter niet naar de letter te zijn uitgevoerd. Deels komt dit door capaciteitsgebrek. Voor een ander deel speelt het toegenomen inzicht in de risico's een rol. Maar de belangrijkste verklaring is dat de risico's op een andere wijze werden beheerst.

In september werden opnieuw alle risico's in een gezamenlijke sessie met alle medewerkers in kaart gebracht. Een zeer opmerkelijke gewaarwording was dat de risico's in het overzicht van drie maanden terug voor een deel achterhaald bleken te zijn. Sommige risico'werden niet langer als gevaarlijk beschouwd. Zo blijkt bijvoorbeeld uit nader onderzoek dat de kans op fraude vermoedelijk heel gering is. Daar staat tegenover dat recente ontwikkelingen zoals het gereedkomen van de werkprocessen en het groeien van de organisatie naar 27 medewerkers nieuwe risico's met zich meebrengen. Om die reden is besloten om het inventariseren van risico's, het prioriteren en het formuleren van beheersmaatregelen iedere twee maanden te herhalen. In tabel 2 staat een beschrijving van enkele risico's die in september werden geïdentificeerd.

Operationele doelstelling Nr. Omschrijving risico Gevolgen Mogelijke maatregelen Uitvoerend manager
2. Kwaliteit aangeleverde protocollen blijft achter Vertraging, onrust bij bedrijven en politiek, capaciteitsgebrek bij NEa

Sturen op:

  • voorlichting aan bedrijven, ook over sancties
  • snel antwoorden aan bedrijven en afspraken maken over verbetertermijnen
  • duidelijke en eenduidige feedback aan bedrijven
  • belonen voorlopers met positieve publiciteit
Afdeling vergunning-verlening
3. Slecht werkbare beleidsregels Problemen bij uitvoering toezicht en handhaving, frustraties bij NEa en bedrijven, slecht imago

Pleiten bij ministerie voor:

  • scheiding verantwoordelijkheden
  • juiste balans tussen detail en beleidsruimte
Afdeling Toezicht en handhaving
3. Onervaren personeel voor toezicht & handhaving Slechte handhaving, slecht imago NEa
  • selecteren personeel op deskundigheid
  • tijd nemen indien nodig
  • opleidingen organiseren en financiering regelen
Afdeling Toezicht en handhaving
4. Te weinig capaciteit bij opzetten interne bedrijfsvoering Slecht moreel, daling kwaliteit primair proces, lagere productie
  • goede mensen werven
  • eventueel extra menskracht inhuren
  • veel aandacht aan proces schenken
hoofd Bedrijfs-
bureau

Tabel 2.

Samengevat
Samengevat kan worden gesteld dat het theoretische model een goede steun is bij het inrichten en opzetten van de NEa. Het is belangrijk om de risicoanalyse periodiek te herhalen, zodat nieuwe ontwikkelingen en inzichten worden meegenomen en de beheersmaatregelen specifieker kunnen worden geformuleerd.

R. Klaar MPA CPC is consultant bij de Palladio Groep bv.
Drs. C.-J. Manniën werkt als hoofd bedrijfsbureau bij de Nederlandse Emissieautorlteit.

Sluiten