slogan: PLATFORM VOOR PUBLIC GOVERNANCE, AUDIT & CONTROL

Handvatten voor volwassen risicomanagement

Handvatten voor volwassen risicomanagement

12 december 2017 om 11:48 door Ard schilder, Maurice Becque en Peter Bouwmeester 0 reacties

Sinds 1 januari 2004 zijn gemeenten door de rijksoverheid verplicht om informatie over risico’s en de beheersing daarvan op te nemen in de begroting en jaarstukken. Waar staan gemeenten in 2017? Een duiding in het licht van de inhoudelijke doelen van de organisatie wordt in de meeste gevallen niet gegeven. Dit geeft de indruk dat risicomanagement meer als verantwoordings- dan als sturingsinstrument wordt gezien.

Sinds 1 januari 2004 zijn gemeenten door de rijksoverheid verplicht om informatie over risico’s en de beheersing daarvan op te nemen in de begroting en jaarstukken. Waar staan gemeenten in 2017? Een duiding in het licht van de inhoudelijke doelen van de organisatie wordt in de meeste gevallen niet gegeven. Dit geeft de indruk dat risicomanagement meer als verantwoordings- dan als sturingsinstrument wordt gezien.

Risicomanagement is voor gemeentelijke controllers een belangrijk nieuw aandachtsgebied geworden. Veranderingen in de economische om­geving en rijksbeleid zijn aanleiding om aandacht te besteden aan risico­management. Waar staan gemeenten in 2017? Aan de instrumentkant is veel gebeurd, maar een relatief beperkte groep liefhebbers trekt de kar. Risico­management is nog niet, of maar beperkt, onderdeel van strategische sturing.

Van instrumentatie naar strategie

Gemeenten hebben de afgelopen periode concrete stappen gezet in het toepassen van instrumenten om risico’s te identificeren, classificeren en beheersen. Sinds 1 januari 2004 zijn gemeenten door de rijksoverheid ook verplicht om informatie over risico’s en de beheersing daarvan op te nemen in de begroting en jaarstukken. De instrumenten die gemeenten toepassen zijn soms zelf ontwikkeld, maar vaak worden ook instrumenten gebruikt van gespecialiseerde aanbieders. Wat opvalt, is dat de instrumenten breed zijn doorgedrongen, maar dat een duidelijke koppeling met de brede maatschappelijke doelstellingen van de gemeente vaak nog ontbreekt. Dat zien we terug in recent rekenkameronderzoek dat wij hebben uitgevoerd naar dit onderwerp in de vijf gemeenten van de Hoeksche Waard. Gemeenten voldoen aan de regels van de rijksoverheid (compliance), waarbij de beheersmatige insteek dominant is en het van belang is om het weerstandsvermogen in de categorie ‘voldoende’ of hoger te houden. Een duiding in het licht van de inhoudelijke doelen van de organisatie wordt in de meeste gevallen niet gegeven. Dit geeft de indruk dat risicomanagement meer als verantwoordings- dan als sturingsinstrument wordt gezien.

Ook in recent onderzoek van Vincent van Arkel naar vier 100.000+ gemeenten in Gelderland (Van Arkel, 2016), is de conclusie dat bij drie van de vier gemeenten de koppeling tussen risico’s en doelstellingen niet op een directe manier wordt gelegd. Een strategische inbedding van risicomanagement verdient daarom de komende tijd prioriteit in de groei naar volwassenheid. Maar hoe kan die volwassenheid worden geconcretiseerd en beoordeeld?

Volwassenheid vraagt strategische inbedding

Volwassenheid in risicomanagement heeft in onze optiek vooral te maken met een expliciete inbedding van de traditionele kern van risicomanagement – de processen, instrumenten en uitvoering in de organisatie – in aanvullende stuurmechanismen die gekoppeld zijn aan het strategisch niveau van de organisatie. Door deze koppeling van harde en zachte sturing ontstaat een groeipad voor (verdere) strategische inbedding. Onderwerpen die daarbij horen, zijn:

• Expliciet risicobewustzijn en -bereidheid. Dit betreft de attitude ten opzichte van risico’s in algemene zin, hoe organisatie­breed tegen risicomanagement wordt aan­gekeken en in hoeverre organisaties bewust en wel­overwogen risico’s nemen om hun maatschappelijke doelstellingen te bereiken. Dit heeft impact op alle andere onderdelen van het risicomanagement.
• Leiderschap en strategie. Volwassen risicomanagement vraagt commitment en voorbeeldgedrag van de bestuurlijke en ambtelijke top van de organisatie en een rol voor risicomanagement in de voorbereiding en uitvoering van de organisatiebrede strategie.
• Effecten en lerend vermogen. Hier gaat het om de vraag hoe de effecten van het risicomanagementproces op de realisatie van maatschappelijke doelen worden gebruikt in een proces van continue verbetering van het risicomanagement.

Deze strategische elementen kunnen samen met de tactische en operationele aandacht voor processen, instrumenten en organisatorische borging worden samengebracht in een integraal beoordelingskader voor risicomanagement, zoals weergegeven in figuur 1. De figuur is een eigen bewerking van bestaande modellen uit de recente literatuur en praktijk rond het risicomanagement.

figuur_p29.jpg

Figuur 1: Integraal kader voor beoordeling risicomanagement

In termen van figuur 1 ligt de nadruk in veel gemeenten op blok 3 en 4, waar proces en instrumenten centraal staan en de praktische doorvertaling naar de organisatie. Zonder inbedding ten opzichte van de andere blokken is echter het risico dat het risicomanagement ‘verweesd’ raakt als een specifiek domein voor vooral financiële specialisten. De waarde van risicomanagement voor sturing op de maatschappelijke doelen van de organisatie raakt dan uit beeld. Voor volwassenheid is het nodig dat alle onderdelen van figuur 1 een bepaalde graad van ontwikkeling hebben.

Volwassenheidsniveaus van risicomanagement

Het integrale kader voor risicomanagement van figuur 1 biedt de mogelijkheid om iets te zeggen over de ‘mate van volwassenheid’. ‘Risicovolwassenheid’ is een term die steeds vaker wordt gebruikt in recente literatuur over risicomanagement en sluit goed aan bij ons pleidooi richting gemeenten voor het maken van stappen naar een volgende fase. De basis die de meeste gemeenten hebben gelegd kan worden gezien als de ‘jonge jaren’ van risicomanagement, waarbij een doorgroei naar een strategisch ingebed risicomanagement nodig is.

In figuur 2 hierboven presenteren wij een concreet model om de volwassenheidsniveaus van risicomanagement vast te stellen. De onderdelen 1 tot en met 5 die worden genoemd in de toelichtende tekstblokken, verwijzen naar de corresponderende onderdelen van figuur 1.

figuur_p30_1.jpg

Figuur 2: Volwassenheidniveaus in risicomanagement

Op niveau 1 (‘Instrument georiënteerd’) voldoet de gemeente aan de eisen die wet- en regelgeving stelt aan het risico­management. Er is een basisinstrumentarium om risico’s te identificeren, classificeren en beheersen, met aandacht voor een formele inbedding in processen en rollen. De insteek is een goede formele verantwoording en risicomanagement wordt sterk getrokken en ingevuld door financiële experts, vanuit het oogpunt van voldoende financiële buffering. Mede gegeven de recente revisie van het BBV, zitten de meeste gemeenten in Nederland wel op niveau 1.

Op niveau 2 (‘Organisatiebreed ingebed’) is het risicomanagement in de eigen organisatie (onderdelen 2 tot met 4) verder doorontwikkeld, waarbij leidinggevenden in de lijn een voorbeeldfunctie vervullen en risicomanagement een interactie is tussen lijn en (financiële) staf. Het puur financiële perspectief wordt aangevuld met meer inhoudelijke risico’s en aansluiting bij het primaire proces. Niveau 2 vraagt al een mate van volwassenheid die nog niet bij alle gemeenten aanwezig is. Vooral waar de financiële functie in algemene zin nog sterk expertmatig is ingevuld en gericht op beheersing en verantwoording, halen gemeenten het niveau 2 niet.

Op niveau 3 (‘Omgevingssensitief en netwerkvaardig’) komt de strategische inbedding van het risicomanagement pas echt van de grond, met een goede score op risicobereidheid en attitude, leiderschap en strategie, en effecten en lerend vermogen. In tegenstelling tot niveau 2 dat primair naar binnen is gericht, is er op niveau 3 het vermogen om ook sterk naar buiten te kijken. In het instrumentarium en de organisatorische borging worden risico’s meer gedifferentieerd benaderd en wordt de verbinding gelegd met de buitenwereld en externe controls. Risico’s in gemeenten worden niet meer primair gezien als ‘de kans dat de uitvoering van een taak buiten de (financiële) kaders geraakt’. Risico’s worden nu bewuster gekoppeld aan de gemeentelijke doelstellingen en er komen meer strategische vraagstukken op tafel. In de trant van ‘als het voorzieningenniveau gehandhaafd moet blijven en dat lukt niet op alle onderdelen, welke risico’s willen en kunnen we dan accepteren?’ Veelal moet er hierbij aan oplossingsrichtingen worden gedacht met het delen van risico’s in samenwerkingsverbanden of het herbeleggen van risico’s bij gespecialiseerde partijen. Ervaringen van andere partijen uit het netwerk worden getoetst op bruikbaarheid of impact op de eigen situatie. Nog maar een kleine kopgroep van gemeenten haal niveau 3.

Op niveau 4 (‘Kansen en waardegericht sturen’) is de strategische inbedding volledig doorgezet en scoren alle blokken sterk. Risicomanagement houdt niet meer in dat de gemeente geen of zo min mogelijk risico mag lopen. Het gaat erom dat de gemeente verantwoorde risico’s durft te lopen en moed toont, als maatschappelijke waarden die belangrijk worden gevonden daarom vragen. Acceptatie om schade te lijden hoort daarbij. 

Risicomanagement is geen losstaande vakdiscipline meer, maar een drijvende kracht in het realiseren van de strategische doelen van de gemeente. Vanuit risicobewustzijn en -bereidheid worden mogelijkheden gecreëerd en parameters gedefinieerd voor sturing – ‘Wat is toelaatbaar, wat moeten we weten?’. Ervaring en effecten van eerdere keuzes worden vervolgens expliciet gebruikt in het bijstellen van het risicobewustzijn en -bereidheid, tot op bestuurlijk niveau is dit lerend vermogen zichtbaar. Wij zijn nog geen gemeenten tegengekomen die dit niveau van volwassenheid haalt.

Een eerdere versie van het hierboven gepresenteerde model is toegepast in rekenkameronderzoek voor de Hoeksche waard. Het is bruikbaar gebleken om op een inzichtelijke en overzichtelijke manier het risicomanagement in de gemeente weer te geven. Wel heeft de toepassing geleid tot nog enkele aanscherping en blijft een goede toelichting op de indeling naar volwassenheidsniveaus belangrijk. Daarbij worden de scores gevalideerd door verschillende onderzoeksmethodes toe te passen – documentanalyse, interviews, online enquête – en verschillende stakeholders te betrekken in het onderzoek.

Short en simple

In dit artikel is een pleidooi gehouden voor een meer strategisch ingebed risicomanagement en is in een model van volwassenheidsniveaus gepresenteerd dat kan helpen bij beoordelen van de stand van zaken. Een boodschap die daar nog bij hoort is: keep it short en simple. Sterker en meer volwassen risicomanagement is niet per se meer tijdrovend en complexer in vormgeving. Risicomanagement wordt niet beter door het op instrumenteel niveau steeds uitgebreider, gedetailleerder en verfijnder te maken. Vlak voor de financiële crisis van najaar 2009 hadden banken instrumenteel gezien de meest verfijnde technieken en modellen ontwikkeld voor risicomanagement. Het heeft niet kunnen voorkomen dat een van de grootste crisis van de moderne tijd is ontstaan. Als we grip willen op een complexe wereld en onzekerheid, hebben we juist een relatief eenvoudige en robuuste aanpak nodig (Haldane, 2012), die vooral elementen verbindt in plaats van verdiept. Dit vergemakkelijkt en waarborgt ook dat niet alleen een relatief kleine groep specialisten betrokken is bij risicomanagement en daarop stuurt, maar dat het de strategische inbedding krijgt die nodig is voor een volwassen risico­management.

A. Schilder PhD is directeur/adviseur van bureau Think Public. M. Becque MPC is geassocieerd adviseur van Think Public. Drs. P.J. Bouwmeester is medewerker van de Rekenkamer Rotterdam.

Literatuur

•  Arkel, V.J.M. Van (2016), ‘Risk appetite bij Gelderse 100.000+ gemeenten’, Master Thesis, TIAS.
•  Bongiovanni, C. et al. (2016), ‘Transforming enterprise risk management for value in the insurance industry’, McKinsey on Risk Number 1, Summer 2016.
•  Cienfuegos Spikin, I.J. (2013), ‘Developing a risk management maturity model: a comprehensive risk maturity model for Dutch municipalities’, Thesis, Universiteit van Twente.
•  Haldane, A. G. (2012), ‘The dog and the frisbee’, speech at the Federal Reserve Bank of Kansas City’s, Wyoming, 31 August 2012.
•  Vries, M. de (2016) Eindrapport risicomanagement ter afronding van de masterclass cyclus Leiderschap & Management (TIAS), KNAW, Amsterdam 23 september 2015.

Sluiten