Risicovolwassenheid bij gemeenten en provincies nog in de kinderschoenen

Er zijn nog duidelijke mogelijkheden om op het vlak van risicomanagement te groeien, waardoor het realiseren van bestuurlijke doelstellingen, het presteren, van lokale overheden wordt verbeterd. In dit artikel wordt een link gelegd tussen een onderzoek onder gemeenten en provincies, waarin de risicovolwassenheid werd onderzocht, en de ervaringen en mogelijke groeimogelijkheden van veel lokale overheden.

Toen ze het terras opkwamen herkende ik ze direct: vader en moeder met hun twee kleine kinderen. Ik had ze even daarvoor gezien, gezellig fietsend langs de Amstel. Het jongste dochtertje, ongeveer twee jaar, zat in een kinderzitje verwonderd om zich heen te kijken. Naar de bootjes, de reigers langs de waterkant, de voorbij snellende toerrijders maar vooral naar haar broertje die dapper trappend, de tegenwind trotseerde. Af en toe werd hij daarbij geholpen door zijn vader, die dan een hand op z’n schoudertjes legde en ‘m een stukje vooruit hielp. Het jongetje had nog niet zoveel fietservaring en slingerde bij tijd en wijle gevaarlijk heen en weer.

Gelukkig schermde zijn vader hem goed af door links te blijven fietsen en hem de ruimte te geven om z’n eigen ervaring op te doen… Een poosje later, toen ik weg ging, zag ik hem zitten, glunderend achter z’n warme chocomel en helemaal klaar om de wereld verder te verkennen!

Groeimogelijkheden voor het optimaliseren van risicomanagement
Er valt voor lokale overheden in ieder geval nog een heleboel te leren en te ontdekken als het gaat om het effectief én efficiënt managen van risico’s. Wat dat betreft is een parallel te trekken met het fietsende jongetje op zijn ontdekkingstocht. Uit het onderzoek komt naar voren dat men weet hoe er gefietst moet worden (wat risicomanagement is) en dat men de basistechniek van ‘de trappers ronddraaien’ onder de knie heeft.

Van een robuuste en gebalanceerde fietstocht is echter nog geen sprake. Daarvoor is nog wat meer ervaring en steun van de ouders nodig.

De ouders uit de inleidende metafoor bent u: lijnmanagers én controllers. Met behulp van beide ‘ouders’ zal ‘het jongetje’ een mooie ‘fietstocht’ kunnen maken. En zo is het ook met risicomanagement. Een gezamenlijke inspanning van lijn en staf maakt een context mogelijk waarbinnen de vruchten van risicomanagement geplukt kunnen worden. Het stelt uw organisatie in staat met minder onzekerheden tot de realisatie van bestuurlijke doelstellingen te komen.

Waar staan de gemeenten en provincies nu?
In de nazomer van 2006 is een zelfevaluatie georganiseerd voor een aantal grote gemeenten en de provincies. Hierin hebben de deelnemers aangegeven hoe het gesteld is met de inrichting en werking van hun risicomanagement. De resultaten zijn aan de deelnemers teruggekoppeld en vervolgens zijn gezamenlijke lessen getrokken.

Het beeld dat uit het onderzoek naar voren komt, is dat de lokale overheden voor wat betreft de risicovolwassenheid van vijf fasen in fase 2 ‘informeel’ zitten (zie ook figuur 1). Er vinden dappere pogingen plaats om risicomanagement een plek te geven in de organisatie en de betrokken organisaties zelf vinden dat ze al een heel eind (fase 3) zijn.

Figuur 1. Scores gemeenten en provincies in de zelfevaluatie

In figuur 1 wordt het algemene resultaat van de zelfevaluatie weergegeven: een gemiddelde van de deelnemende gemeenten en provincies. De scores zijn weergegeven per ‘bouwsteen’ van het COSO-21 model. Op basis van deze waarnemingen kunnen geen conclusies worden getrokken voor alle gemeenten en provincies in Nederland. Op grond van dit onderzoek kan wel worden geconcludeerd dat de gemiddelde waardering van de deelnemers op alle deelaspecten rond de waarde twee en een half tot drie ligt. Provincies schatten hun risicovolwassenheid op enkele deelaspecten iets lager in dan hun gemeentelijke collega’s. Hierna wordt verder ingegaan op de genoemde volwassenheidsfasen. Na een lichte correctie naar beneden (i.v.m. de in het algemeen té positieve inschatting bij zelfevaluaties) komen de scores overeen met het beeld dat wij van het risicomanagement bij de lokale overheden hebben.

Hoe komt u van fase 2 ‘informeel’ naar fase 3 ‘basis op orde’?
De respondenten onder de gemeenten en provincies zijn van mening dat zij op het gebied van risicomanagement op weg zijn naar volwassenheidsfase 3. Maar wat zegt dat nu? Wat is het verschil tussen niveau twee en drie? En waarom is het belangrijk deze stap te maken? Zie ook figuur 2.

Figuur 2. Volwassenheidsmodel risicomanagement (klik op de figuur voor vergroting).

Volwassenheidsfase 2, het niveau dat de meeste deelnemende organisaties hebben bereikt, is de fase waarin kan worden gesproken van een informeel risicomanagement systeem. U herkent dit aan de volgende kenmerken:

• Het management heeft beperkt aandacht voor risicomanagement en is vooral reactief, symptoom bestrijdend. Het management reageert vooral op incidenten, zonder een structurele vastlegging;
• Taken en verantwoordelijkheden rondom risicomanagement zijn nog niet eenduidig vastgelegd;
• De doelstellingen zijn weliswaar bekend, maar nog beperkt doorvertaald in de organisatie. Kritieke succesfactoren (KSF’n), kritieke prestatie-indicatoren (KPI’s) en bijbehorende normen zijn slechts beperkt beschikbaar;
• Men richt zich voornamelijk op de beheersing van financiële risico’s. De structuur voor het ontwikkelen van een integraal actieplan ontbreekt;
• De effectiviteit en efficiëntie van de getroffen beheersmaatregelen wordt ad hoc vastgesteld. Informatie over de belangrijkste risico’s is beperkt voor handen en wordt nog niet voor externe doeleinden gebruikt;
• De organisatieonderdelen rapporteren op beperkte schaal (bottom-up) over de beheersing van de risico’s;
• In de managementletter van de accountant wordt een eerste aanzet gegeven om de effectiviteit van het risicobeheersing- en controlesysteem aan de orde te stellen.

Vaak is de organisatie in deze tweede fase nog erg zoekende naar de juiste inrichting van het risicomanagementsysteem: het jongetje slingert soms nog behoorlijk op zijn fietsje en kan af en toe – vooral bij hindernissen – wel wat hulp gebruiken. De controller heeft het er in deze fase van de ontwikkeling maar druk mee. Meestal heeft de organisatie alleen nog maar oog gehad voor de financiële risico’s en nu moet er ook aandacht worden besteed aan de strategische en meer operationele risico’s. Daarnaast moet een belangrijke slag worden gemaakt om de aanpak tussen de onderdelen op één noemer te krijgen. Het structurele karakter van de risicomanagementactiviteiten moet vervolgens stap voor stap worden uitgewerkt en praktisch worden geïntegreerd in de P&C-cyclus.
De volgende volwassenheidsfase, fase 3, is de fase van ‘de basis op orde’. Een belangrijk punt in het bereiken van deze derde fase is het contact tussen lijn en staf over de voor de organisatie relevante risico’s. Het is niet meer alleen ‘handig’ om je achteraf over te verantwoorden, maar wordt bruikbaar als een echt ‘tool of management’ om vooruit te kunnen kijken en sturen om daarmee belangrijke hindernissen het hoofd te kunnen bieden. Pas als het jongetje verder kijkt dan zijn eigen trappertjes en voorwiel, wordt hij een deelnemer in het verkeer.

De fase ‘basis op orde’ kan op de volgende wijze worden getypeerd:

• Risicomanagement krijgt periodiek aandacht op de agenda’s van de ambtelijke en bestuurlijke agenda’s. In de P&C-cyclus krijgen risico’s en het managen daarvan structurele aandacht;
• In het handboek risicomanagement zijn taken en verantwoordelijkheden rondom risicomanagement inmiddels uitgekristalliseerd en vastgelegd;
• De doelstellingen zijn doorvertaald naar de verschillende niveaus van de organisatie en KSF’n, KPI’s en de normen zijn in de praktijk getest. De communicatie van ‘hoog’ tot ‘laag’ wordt hierdoor bevorderd;
• Er worden relaties gelegd tussen strategische, financiële en operationele risico’s. De risicotolerantie en -ambitie hebben meer vorm gekregen, waardoor hier in de beleid- en planvorming meer aandacht aan kan worden gegeven. De vastlegging van gebeurtenissen of incidenten wordt meer structureel geanalyseerd naar oorzaak en gevolg;
• Een generiek model stelt de organisatiedelen in staat hun risico’s te identificeren, gekoppeld aan de doelstellingen op de verschillende managementniveaus;
• De effectiviteit en efficiëntie van de getroffen beheersmaatregelen worden meer structureel vastgesteld. Informatie over de belangrijkste risico’s wordt meer betrouwbaar en kan voor bredere – ook externe – doeleinden worden gebruikt;
• Via interne en externe verklaringen kan de organisatie over de effectiviteit van het risicobeheersing- en controlesysteem rapporteren. De eerste ervaringen worden hiermee opgedaan;
• Naast de periodieke rapportages proberen de organisatieonderdelen ook op andere wijzen de risico’s te monitoren. Er wordt voorzichtig een koppeling gemaakt met performancemanagement.

De do’s en de don’ts voor verdere ontwikkeling

Aandacht voor inhoud én proces
Een van de belangrijkste lessen is dat risicomanagement niet alleen aandacht vraagt voor de ‘inhoud’, maar ook voor het ‘proces’. Natuurlijk is het relevant om risico’s te identificeren en voor de onderkende hiaten adequate beheermaatregelen te implementeren. Het is evident dat gezorgd moet worden voor risicobewustzijn in de rest van de organisatie. Neem hier voldoende tijd voor en organiseer het proces. Verder is het van belang geschikte momenten te zoeken om het lijnmanagement te betrekken bij het proces en om hen te blijven polsen ‘hoe de vlag er bij hangt’. Welke sfeer hangt er, hoe wordt er over gesproken, maakt het onderdeel uit van de managementgesprekken, staat de sponsor er nog achter enzovoorts.

Dialoog met de lijn
Wat meer organisaties zorgen baart, is het bouwen en onderhouden van een dynamisch risicomanagement proces. In het proces is naast de systematische aanpak de betrokkenheid van de verschillende niveaus van management van belang.
Wie is structureel betrokken bij het identificeren van risico’s? Hoe komt men tot een uitspraak over de risicobereidheid? Op welke wijze komen we periodiek tot een goede afstemming tussen ambtelijke leiding en bestuur? Hoe wordt op de verschillende managementniveaus gesproken over de te treffen of getroffen beheersmaatregelen? Juist de dialoog tussen de staf en de lijn voegt waarde toe. Procesmatig moet in deze dialoog worden voorzien.

Opvolging van gemaakte afspraken
Juist de ‘Act-fase’ in de PDCA-cyclus2 duidt op een meer volwassen benadering van de problematiek. Vaststellen wat nog niet helemaal optimaal verloopt, is een belangrijke eerste stap. Vervolgens kan het management vaststellen wat er aan moet gebeuren, maar essentieel is het feitelijke managen van de aanpassingen die zijn voorgesteld. Plannen maken zonder een goede opvolging van die voorstellen levert niet zoveel op. De resultaten van de risicoanalyses moeten dus worden vertaald naar concrete oplossingen, samen met het aanwijzen van een actiedrager en een deadline. In de P&C-cyclus moeten de gemaakte afspraken worden gevolgd. Het is aan de actiedragers om de situatie rondom een risico te beoordelen en daarvan verslag te doen. De centrale risicocoördinator staat voor een tijdige en volledige verslaglegging door de vastgestelde actiedragers.

Meer doelgerichte cultuur
Alles bij elkaar levert de introductie van risicomanagement een meer professionele manier van werken op. De wijze waarop managers hun doelstellingen willen realiseren, is – in een omgeving waarin risicomanagement een meer volwassen niveau heeft bereikt – fundamenteel een andere. De spelregels zijn simpel gezegd anders. De waarnemingen rondom de belangrijkste risico’s en de dialoog die daarover moet worden gevoerd met de verschillende managers, levert een ander speelveld op. Het spreekt voor zich dat het management hier achter moet staan, maar het betekent ook dat hun medewerkers overtuigd moeten zijn van de toegenomen transparantie. Het stelt uw organisatie in staat om performancemanagement meer concreet in te kunnen vullen. De dashboardfunctie vormt hier één onderdeel van, waarbij de risico’s worden gemonitord.

Risicomanagement is een zaak voor lijn en staf en handelt ook over ‘loslaten’
Het uitgevoerde onderzoek onder gemeenten en provincies was de aanleiding om deze praktijkvisie over risicomanagement onder uw aandacht te brengen. Risicomanagement is geen nieuwe trend, maar vormt een brug tussen de activiteiten en het behalen van de doelstellingen zonder al te veel verrassingen. Dat dit niet alleen een klusje is voor de controller, moge duidelijk zijn. Dat u als controller de nieuwe verkeersdeelnemers een handje moet helpen, spreekt ook voor zich. Het is aan u om het leerproces uit te stippelen. Immers de controller of adviseur helpt de organisatie meestal het beste door er in het begin naast te blijven rijden en op tijd ‘los te laten’ om zelfstandigheid van de jonge fietsers op de langere termijn te bevorderen…

Dit artikel is geschreven door Ronald Jansen, Luuk Aarts, Otto Schotgerrits en Herrie Geuzendam, allen werkzaam bij KPMG Business Advisory Services, Amstelveen en Den Haag. De auteurs werken specifiek voor overheden, in het bijzonder op het gebied van risicomanagement.

Noten
1 Het Coso-2 model is een verbijzondering van het Coso-1 controlmodel dat bestaat uit acht bouwstenen die tezamen het referentiekader vormen voor enterprise risicomanagement.
2 De PDCA (plan-do-check-act) -cyclus is een manier om continu te verbeteren. Het staat aan de basis van het hedendaagse kwaliteitsdenken. Kort samengevat: een organisatie stelt zich een doel (‘Plan’), gaat aan het werk om dit doel te realiseren (‘Do’), controleert na enige tijd of men op koers ligt (‘Check’) en stuurt bij wanneer men afwijkt (‘Act’). Daarna wordt het doel opnieuw vastgesteld (eventueel bijgesteld; ‘Plan’) en begint de cyclus weer bij het begin.