slogan: PLATFORM VOOR PUBLIC GOVERNANCE, AUDIT & CONTROL

Tien Utrechtse praktijklessen in risicomanagement

Tien Utrechtse praktijklessen in risicomanagement

12 december 2017 om 12:12 door Ilhan Tekir 0 reacties

De gemeente Utrecht heeft de afgelopen jaren belangrijke stappen gezet als het gaat om de professionalisering van haar risicomanagement. In dit artikel gaat de auteur in op de Utrechtse kijk op risicomanagement en presenteert hij tien praktijklessen. Die Utrechtse lessen zijn vooral als inspiratie te gebruiken om het gesprek over risico’s te arrangeren.

De gemeente Utrecht heeft de afgelopen jaren belangrijke stappen gezet als het gaat om de professionalisering van haar risicomanagement. In dit artikel gaat de auteur in op de Utrechtse kijk op risicomanagement en presenteert hij tien praktijklessen. Die Utrechtse lessen zijn vooral als inspiratie te gebruiken om het gesprek over risico’s te arrangeren.

Risicomanagement is geen rocket science maar ook geen science fiction. Het is iets daar tussenin. Je kunt de werkelijkheid niet ondervangen in ingewikkelde berekeningen – zoals bij rocket science. Tegelijkertijd kun je de toekomst niet baseren op fictieve gebeurtenissen – zoals bij science fiction. De kunst is om te balanceren tussen rocket science en science fiction, zodat risicomanagement daadwerkelijk bijdraagt aan de realisatie van doelstellingen. 

1.  Eerst risicomanagement, dan weerstandsvermogen: niet andersom

De begrippen risicomanagement en weerstandsvermogen zijn bij lokale overheden onlosmakelijk met elkaar verbonden. Daar waar risicomanagement een managementconcept is, is het weerstandsvermogen niet meer dan een ratio die de verhouding tussen beschikbare en benodigde weerstandscapaciteit uitdrukt. Een financieel kengetal dus. Daarmee is weerstandsvermogen een afgeleide van risicomanagement. De bestuurlijke aandacht naar financiële gevolgen maakt echter dat er vaak meer belang wordt gehecht aan de stand van het weerstandsvermogen dan aan de inhoudelijke ontwikkeling van risico’s. Dit is riskant, om maar in vaktermen te blijven. Het risicomanagement vormt immers de basis en de kwaliteit ervan is bepalend voor de betrouwbaarheid van het weerstandsvermogen. Stel de kwaliteit van het risicomanagement daarom voorop. De gemeente Utrecht heeft deze visie uitgewerkt in haar nieuwe nota ‘Risicomanagement & Weerstandsvermogen’. Voorheen stonden de begrippen andersom. 

2.  Risicomanagement gaat over meer dan alleen financiële risico’s

Bij risico’s wordt meteen gedacht aan financiële risico’s. Dat is niet gek, omdat veel nadelige gebeurtenissen leiden tot materiële schade. Denk aan stagnatie in de woningbouw. Een gemeente merkt dit meteen in haar uitgifte van bouwgrond. Maar er zijn nog meer gevolgschades om de impact van risico’s te duiden. Denk bijvoorbeeld aan imagoschade of aan letselschade. Maar ook vertraging van werkzaamheden is een relevante gevolgschade. Deze variëteit aan gevolgschades is van belang omdat niet alles in geld is uit te drukken. In termen van risicomanagement betekent dit dat de focus op risico’s breder zou moeten zijn dan alleen financiële risico’s. Als een organisatie zich beperkt tot enkel de financiële risico’s – of liever: risico’s met financiële gevolgen –, dan kunnen er verrassingen opduiken. Zo was het imago-effect bij de Grand Départ van de Tour de France in Utrecht een belangrijke factor om rekening mee te houden. In de risicoparagraaf tellen de niet-financiële risico’s – uiteraard – niet mee voor de berekening van het weerstandsvermogen maar worden zij wel expliciet genoemd. 

3.  Kansenmanagement is net zo belangrijk als risico­management 

Er bestaan twee grote misverstanden over risicomanagement. Het ene is dat risico’s altijd financieel zijn – zoals hiervoor behandeld. Het andere is dat risico’s altijd negatief zijn. In Utrecht is de definitie van het risico-begrip daarom verbreed naar gebeurtenissen met nadelige of positieve gevolgen voor de gemeente. Die laatste categorie noemen we ook wel kansen, oftewel kansenmanagement. Het stimuleren van positieve meevallers is immers minstens zo belangrijk als het voorkomen van nadelige tegenvallers. Kansenmanagement vraagt om een mindshift in het denken over risico’s die alleen op gang komt door het goede gesprek te blijven voeren. Ook hier geldt dat in Utrecht kansen – uit behoedzaamheid – nog niet meetellen in de bepaling van het weerstandsvermogen, maar ze worden wel genoemd in de paragraaf weerstandsvermogen. De praktijk leert dat het denken en handelen in kansen een proces van lange adem is. 

4.  Projecten zijn specials, behandel ze daarom ook speciaal

Projecten onderscheiden zich door een beperking in tijd en geld. Dat geldt ook voor risicomanagement bij projecten. Dat verdient afzonderlijke aandacht. In Utrecht speelde dit bij grote projecten als de vernieuwing van het Stationsgebied, de organisatie van de Grand Départ van de Tour de France en de drie decentralisaties in het sociale domein. Alle drie projecten met een eigen risicoanalyse, naast de kwantificering in het gemeentebrede risicomodel. De afzonderlijke risicoanalyses maken het mogelijk dat hier expliciet op wordt gestuurd. Zo was er bij de Grand Départ een risicomanager in het projectteam die alle teamleden attendeerde op ontwikkelingen.

Deze risicoanalyses hoeven niet zo uitgebreid te zijn als bij de berekening van het weerstandsvermogen. Een praktische en overzichtelijke analyse volstaat. Denk aan vermelding van beheersmaatregelen, actietermijnen en risico-eigenaren naast aandacht voor de kansen en de impact van risico’s.

5.  Houding en gedrag zijn net zo bepalend als structuren en regels

Het louter modelmatig aanvliegen van risicomanagement is gedoemd tot mislukken. Het woord risicomanagement heeft niet voor niets het woord ‘management’ in zich. Risico’s beheersen (managen) is ook een kwestie van houding en gedrag. De organisatiecultuur is daarin bepalend. Worden soft controls erkend of dekken we ons louter in met hard controls?Het raamwerk van ISO 31000 biedt een lijst met bruikbare principes, zoals het expliciet benoemen van onzekerheden, transparantie en de rol van menselijke en culturele factoren. Bewustwording over deze soft controls is essentieel voor het slagen van risicomanagement. De tone at the top is hier een goede graadmeter voor. Er mag geen afrekencultuur zijn. Soft controls en hard controls gaan in de ideale situatie hand in hand en vullen elkaar aan. Neem het voorbeeld van een gesprekkencyclus (hard) waarin open en transparant (soft) wordt gesproken over onzekerheden. Tegenover iedere hard control zou er een soft control moeten staan om het control framework in balans te houden.

6.  Stel een organisatiebreed netwerk in van ambassadeurs 

Uitwisseling van kennis en kunde is een belangrijke voorwaarde om risicomanagement te laten slagen. Dit kan door middel van een organisatiebreed netwerk van ambassadeurs die een vraagbaak vormen binnen hun afdeling. Naast professionalisering zorgt deze uitwisseling ook voor een open en transparante sfeer in de organisatie. Een ander voordeel is dat hierdoor risicomanagement bottom-up wordt ingestoken. De rol van een centrale risicomanager, oftewel Chief Risk Officer, blijft weliswaar noodzakelijk maar komt hiermee meer in balans. Het is overigens aan te bevelen om de rollen en bijbehorende taken uit te werken in een procesontwerp, zodat voor alle betrokkenen duidelijk is wie wat doet. De uitdaging is om het risicomanagementnetwerk zelfstandig te laten functioneren zonder al te veel interventies vanuit de top. Spreek bijvoorbeeld af dat het netwerk op vaste tijden in het jaar bij elkaar komt op basis van thema’s die de leden zelf voordragen. 

7.  Faciliteer trainingen en inspireer met vernieuwende ideeën 

Het proces rondom risicomanagement en weerstandsvermogen is in de praktijk vaak ingestoken vanuit de planning&controlcyclus. De paragraaf weerstandsvermogen – die bij iedere begroting en jaarrekening moet worden gemaakt – lijkt hierin het hoogtepunt. Dit proces is vaak weerbarstig vanwege de betrokkenheid van verschillende medewerkers. Daar komt bij dat het – slechts – tweemaal per jaar actualiseren van risico’s niet zorgt voor een aangeleerde routine­matigheid. Het is zinvol om periodiek trainingen te organiseren met bij voorkeur eigen collega’s. In Utrecht is hiervoor gewerkt met het train-the-trainerconcept. De centrale risicomanager is getraind om jaarlijks een training te geven over de Utrechtse toepassing van risicomanagement. Daarnaast wordt er ten tijde van de voorbereiding op de nieuwe nota ook een training verzorgd aan raadsleden. De nota alléén is echter niet inspirerend genoeg. Daarom wordt er in Utrecht gewerkt met infographics waarin essentiële onderdelen van de nota kort maar krachtig worden gecommuniceerd. 

In de figuur is een voorbeeld opgenomen van een infographic waarin het risicomanagementproces op één A4’tje is weergegeven. Deze infographic was nadrukkelijk bedoeld voor medewerkers die risico’s actualiseren voor de planning&controlcyclus.

figuur_p18.jpg

Voorbeeld van een inforgraphic waarin het risicomanagementproces op één A4tje is weergegeven.

8.  Wees bewust van je eigen risk appetite, zowel bestuurlijk als ambtelijk

Bij risk appetite, oftewel risicobereidheid, gaat het erom in hoeverre je als individu of als organisatie bereid bent om risico’s te nemen. Op gemeentelijk niveau zijn hier vaak afspraken over gemaakt, zoals de norm voor de weerstandsratio. Op individueel niveau is dit echter nauwelijks op elkaar af te stemmen. Hierdoor ontstaan verschillende belevingen over risicobereidheid. Wat voor de een acceptabel is, hoeft de ander niet gerust te stellen. Deze verschillen in beleving zijn onvermijdelijk. Soms zijn risico’s echter niet objectief in te schatten. Dat is niet erg, als de subjectiviteit maar wordt gedeeld. Dit noemen we intersubjectiviteit. Verschillende invalshoeken worden bij elkaar gebracht om een best guess te maken. Zoals bij het risico op bodemverontreiniging. Zo’n risico is niet alleen een kwestie van bodemexperts, maar ook van auditors en gebiedsontwikkelaars. Op die manier wordt er bewuster omgegaan met risk appetite. 

9.  Benader de werkelijkheid met Monte Carlo-simulaties

De les die het dichtst bij rocket science komt is het gebruik van de Monte Carlo-simulatietechniek. Deze wiskundige berekening – de naamgeving is afgeleid van het beroemde casino in Monte Carlo – maakt het mogelijk dat de set met risico’s duizenden keren wordt gesimuleerd om met enige zekerheid tot een mogelijke uitkomst te komen. Deze uitkomst is afhankelijk van de kans en de financiële impact die per risico wordt bepaald. Zodra de kans of financiële impact van een afzonderlijk risico wijzigt, dan wijzigt de uitkomst van de simulatie mee. Om uit te kunnen gaan van een bepaalde uitkomst, is het van belang om een vooraf bepaald zekerheidspercentage te bepalen. In Utrecht is er gekozen voor 90% zekerheidsstelling. Dat houdt in dat de gemeente Utrecht in 90% van de scenario’s voldoende middelen achter de hand heeft om tegenvallers op te vangen. Utrecht gebruikt hiervoor de ingebouwde functionaliteit van NARIS. 

10.  Meet de volwassenheid van het risicomanagement periodiek

De kwaliteit van het risicomanagement vraagt blijvend aandacht. Het niveau is aan verandering onderhevig en afhankelijk van omstandigheden zoals kennis, houding en gedrag. Deze veranderlijkheid zorgt ervoor dat de uitkomsten kwetsbaar zijn. Is de realisatie van doelstellingen voldoende geborgd? Geeft het weerstandsvermogen een betrouwbaar beeld? Om hier zinnige uitspraken over te kunnen doen, is het nuttig om de kwaliteit zo nu en dan tegen het licht te houden. De gemeente Utrecht heeft hiervoor een volwassenheidsmodel ontwikkelt dat bestaat uit vijf volwassenheidsstadia: oplopend van ‘initieel’ (fase 1) naar ‘optimaal’ (fase 5). De uitkomsten zijn gebaseerd op een survey die is verspreid onder alle betrokkenen in de organisatie. Voor Utrecht leverde dit in de nulmeting het niveau ‘gemanaged’ (fase 3) op. Dit niveau is vervolgens in verschillende aspecten uitgewerkt – zoals risicobeleid, toepassing en communicatie – zodat daaraan kan worden gewerkt. De uitkomst geeft bovenal inzicht in de staat van het risicomanagement. De bijvangst is het gesprek dat hierover ontstaat. Niet alleen in het ambtelijk apparaat, maar ook met de gemeenteraad. 

Tot slot

Dit artikel is begonnen met een knipoog naar de woorden ‘rocket science’ en ‘science fiction’. Doelend op enerzijds een exacte en anderzijds een fictieve wetenschap. De tien praktijklessen geven hier handen en voeten aan. De kunst van het balanceren houdt in dat dat het ene niet mag domineren ten opzichte van het andere. Met andere woorden: omgaan met onzekerheid gaat gepaard met een goede mix van feitelijkheden en voorspellingen. Wat verder opvalt, is dat het woord ‘science’ in beide benamingen terugkomt. Daarmee blijft risico­management ook een wetenschap. Zowel de zachte kant als de harde kant van risicomanagement verdient nog nader onderzoek. 
De praktijklessen uit dit artikel geven slechts een inkijkje in de keuken van één gemeente – een van de 388 gemeenten om precies te zijn. Het spreekt voor zich dat al deze gemeenten uniek zijn in hun omvang, structuur en cultuur. Het is dus geen vanzelfsprekendheid dat iedere les overal een-op-een is door te voeren. Daarom is het belangrijk om deze Utrechtse lessen vooral als inspiratie te gebruiken om het gesprek over risico’s te arrangeren. Draagvlak voor verandering is immers net zo belangrijk als bedenken van goede oplossingen. Vergeet dus niet om de mensen mee te nemen in de verandering. 
Dat is tot slot les elf.

I. Tekir MSc EMIA RO is financieel adviseur Concern­financiën bij de gemeente Utrecht en was tussen 2013 en 2017 verantwoordelijk voor de centrale coördinatie rondom risicomanagement en weerstandsvermogen bij de gemeente Utrecht.

Sluiten