RAAMWERK OF KOOI? Geschiktheid van ISO als instrument voor risicomanagement bij de Provinciale overheid

Transcriptie

1 RAAMWERK OF KOOI? Geschiktheid van ISO als instrument voor risicomanagement bij de Provinciale overheid Drs. R.F.D. BOSMAN Maastricht, 9 december 2009 MBA-Controlling Business School Nederland Begeleider: drs. J. van den Brink

2

3 RAAMWERK OF KOOI? Geschiktheid van ISO als instrument voor risicomanagement bij de Provinciale overheid

4

5 SAMENVATTING Organisaties worden steeds meer geconfronteerd met risico s, die adequaat dienen te worden gemanaged, omdat hun stakeholders dat van ze verwacht. Dit geldt ook zeker voor de overheid. De overheid wordt in deze tijd sterk op haar functioneren aangesproken en er bestaat een groeiende onvrede over de prestaties van de overheid. Veranderend beleid, gewijzigde regelgeving, prestatiecontracten, decentralisatiediscussies, marktwerking etc. Op alle niveaus en in alle bestuurslagen wordt gezocht naar een nieuwe, betere invulling van het functioneren van de overheid. Het onderzoek richt zich op het inzichtelijk maken en beoordelen van kritische succesfactoren van risicomanagement bij de Provinciale overheid in Nederland. Verschillende ontwikkelingen zorgen ervoor dat voor de Provincies de aandacht voor het voeren van een gestructureerde, organisatiebrede aanpak van risicomanagement meer dan ooit gewenst is. De vraag dringt zich op hoe Provincies zich op een zo gestructureerd mogelijke manier risicomanagement eigen kunnen maken. Centraal daarbij staat niet alleen het ontwikkelen van risicomanagementbeleid, maar met name het beschikken over een geschikt instrument om haar processen, activiteiten en de hieraan verbonden risico s te managen, zodat deze aansluiten bij de vastgestelde doelstellingen. Er zijn talloze modellen ontwikkeld om bedrijven en organisaties te helpen om risico s te managen, een wildgroei aan verschillende systemen en risicoraamwerken is ontstaan. De tot dusver ontwikkelde modellen hebben met name betrekking op private organisaties. Voor Provincies verschilt de (politiek-bestuurlijke) context echter wezenlijk van dat van private organisaties. Er is nauwelijks onderzoek gedaan naar de toepassing van risicomanagement bij de Provinciale overheid in Nederland, met specifieke aandacht voor de invloed van de politiek-bestuurlijke context op het managen van risico s. De doelstelling van dit onderzoek luidt: Inzicht krijgen in de geschiktheid van ISO als instrument voor risicomanagement bij de Provinciale overheid. De kritische succesfactoren zijn gebaseerd op de uitgangspunten van de eind 2009 te publiceren richtlijn voor Risicomanagement; ISO ISO is een managementsysteem dat beschrijft wat een organisatie moet doen om de (risico)aspecten van haar processen en activiteiten te managen zodat de resultaten en uitkomsten aansluiten bij de vastgestelde doelstellingen.

6 Achtereenvolgens is literatuurstudie en veldonderzoek uitgevoerd. Hierbij zijn onder meer experts op het gebied van risicomanagement geïnterviewd. Op basis van dit vooronderzoek blijkt dat met name cultuur- en structuuraspecten belangrijk zijn als kritische succesfactor voor een succesvolle toepassing van risicomanagement. Als kritische succesfactor voor risicomanagement bij Provincies dienen: 1. Verantwoordelijkheden met betrekking tot risicomanagement zijn belegd op strategisch, tactisch en operationeel niveau; 2. Er is sprake van een organisatiebreed risicobewustzijn, op zowel strategisch, tactisch en operationeel niveau; 3. Risicomanagement maakt onderdeel uit van (besluitvorming)processen; 4. Risicomanagement sluit aan bij de doelstellingen van de Provinciale organisatie. Deze criteria zijn vervolgens getoetst door middel van enquêtes en interviews bij de Provincies. Op basis van het uitgevoerde onderzoek zijn de volgende algemene conclusies te trekken: 1. Risicomanagement wordt bij Provincies in toenemende mate aangestuurd vanuit een strategische visie en beleid op de functie van risicomanagement voor de organisatie, zonder dat er een gestructureerde organisatiebrede aanpak voorhanden is; 2. Risicomanagementprocessen zijn nog onvoldoende ingebed in de managementstructuur en besluitvormingsprocessen van Provincies; 3. Risicomanagement wordt bij Provincies nog sterk traditioneel ingestoken vanuit een verplichte externe verantwoordingsbehoefte in de paragraaf Weerstandsvermogen; 4. Hoewel bij het merendeel van de Provincies de behoefte bestaat aan structurering van de versnipperde aanpak van risicomanagement, worden risico s nog steeds gemanaged binnen afzonderlijke functionele gebieden; 5. Er ligt met name nadruk op de risico-inventarisatie en risicoanalyse en minder op de beheersing van de bijbehorende maatregelen. Samenvattend kan worden gesteld dat ISO-31000, met een expliciete koppeling van de uitgangspunten, raamwerk en proces van risicomanagement, in beginsel een geschikt instrument is voor een Provinciale toepassing van risicomanagement. De generieke opzet van ISO maakt het een geschikt instrument dat recht doet aan de verschillende fasen waarin Provincies op het gebied van risicomanagement staan. De complexe besluitvormingsprocessen van de Provinciale overheid en de sterk veranderende externe context waarin de Provincies zich bevinden, maken een organisatiebrede aanpak van risicomanagement noodzakelijk. Daarbij dient te worden voldaan aan de genoemde beoordelingscriteria.

7 VOORWOORD Verdieping en ontwikkeling in bedrijfskunde. Dat waren voor mij de belangrijkste drijfveren om 3 jaar geleden te starten met een Master of Business Administrationopleiding. De specialisatie Controlling was een logische; in mijn loopbaan staat met name het aandachtsgebied control centraal. De keuze voor het onderwerp van het afstudeeronderzoek, risicomanagement, bleek een actuele. De afgelopen jaren is het vakgebied risicomanagement immers volop in het nieuws. Ook het (mis)managen van risico s bij de Provinciale overheid staat nogal eens ter discussie. De belangstelling voor de resultaten van het onderzoek, bevestigen het beeld dat in toenemende mate behoefte bestaat aan een doordachte toepassing van risicomanagement binnen Provincies. Ik hoop dat mijn onderzoek bijdraagt aan de discussie hierover. Inmiddels ben ik 3 jaar, 8 modules, 32 studieboeken, 5 risicomanagementseminars en 4 presentaties verder. En kan ik constateren dat de opleiding bij mij nu al een verdieping heeft opgeleverd op het gebied van bedrijfskunde. Graag wil ik mijn dank uitspreken aan een ieder die mij heeft geholpen danwel gemotiveerd bij het uitvoeren van dit onderzoek en het schrijven van deze rapportage en een aantal mensen in het bijzonder. Allereerst mijn begeleiders. Ik wil Robert t Hart danken voor zijn kritische reflectie en aanstekelijke enthousiasme. Veelvuldig en intensief was het contact; het heeft ervoor gezorgd dat er een prima match was tussen mijn kennis en ervaring bij de Provinciale overheid en zijn grote expertise op het vakgebied van risicomanagement. Daarnaast wil ik Joke van den Brink van het opleidingsinstituut bedanken voor de goede inhoudelijke en procesmatige begeleiding van het onderzoek. Dick Hortensius dank ik, als vertegenwoordiger van de normcommissie ISO-31000, voor het frequent informeren over ontwikkelingen op het gebied van de ISO-norm. Het was een lang en intensief traject. Naast een full-time baan was deze (zater)dagopleiding dan ook een balans zoeken tussen opleiding en privé. Het was derhalve ook een belasting voor het thuisfront. De laatste woorden van het voorwoord zijn dan ook voor Rian, Thieme en Benthe. René Bosman Roermond, 29 september 2009

8

9 INHOUDSOPGAVE VOORWOORD SAMENVATTING 1 INLEIDING Aanleiding Leeswijzer OPDRACHT EN ONDERZOEK Probleem- en doelstelling Probleemstelling Doelstelling Onderzoeksopzet Onderzoeksmodel Onderzoekstype Centrale vraagstelling LITERATUURONDERZOEK Inleiding Risico Risicomanagement Risicoraamwerk ISO Risicoagenda bij Provincies Economische crisis Afroming van Rijksuitkeringen Decentralisatiediscussies Veranderde wetgeving Nederlandse code voor goed openbaar bestuur Risicomanagement bij Provincies Operationaliseren van begrippen...32

10 4 METHODOLOGIE Vooronderzoek Te raadplegen bestaande bronnen Te raadplegen expert Operationalisatie van begrippen Dataverzameling Dataverwerking Kwaliteit van dataverzamelingmethoden RESULTATEN Inleiding Uitgangspunten risicomanagement Raamwerk risicomanagement Risicomanagement proces CONCLUSIES BRONNEN Literatuur Methodische literatuur Documenten...61 BIJLAGEN BIJLAGE 1. BEGELEIDENDE BRIEF...65 BIJLAGE 2. GEHANTEERDE VRAGENLIJST...66 BIJLAGE 3. NEDERLANDSE NORMCOMMISSIE RISICOMANAGEMENT...73 BIJLAGE 4. ARTIKEL RISICOMANAGEMENT RUKT OP...75

11 1 INLEIDING Dit hoofdstuk heeft tot doel om de context te schetsen waarbinnen voorliggend onderzoeksverslag tot stand is gekomen (1.1). Daarna wordt in een leeswijzer de opbouw van de rapportage beschreven (1.2). 1.1 Aanleiding De overheid wordt in deze tijd sterk op haar functioneren aangesproken en er bestaat een groeiende onvrede over de prestaties van de overheid. Veranderend beleid, gewijzigde regelgeving, prestatiecontracten, marktwerking etc. Op alle niveaus en in alle bestuurslagen wordt gezocht naar een nieuwe, betere invulling van het functioneren van de overheid. Specifiek voor de Provincie als middenbestuur geldt dat de meerwaarde regelmatig ter discussie wordt gesteld. Dit vraagt om een duidelijk zichtbare en presterende Provincie, die een herkenbare toegevoegde waarde levert aan maatschappelijke vraagstukken in een steeds complexere en risicovolle context. De externe omgeving van de Provincie is complex en turbulent. De toekomst van de Provincie als bestuurslaag staat daarnaast ook nog ter discussie. Anticiperend op die onzekerheid, zal vooral aandacht voor een effectieve strategische aanpak van de maatschappelijke vraagstukken, zoals ze door de provinciale partners en klanten naar voren worden gebracht, het bewijs voor de toegevoegde waarde van de Provincie moeten leveren. Resultaat en rekenschap over de prestatie van de Provincie is daarbij van groot belang. Risicomanagement als instrument om te prioriteren en als sturingsmiddel om mensen en processen te richten op het bereiken van de (coalitie)doelstellingen wordt daarmee steeds belangrijker. Het niet adequaat managen van risico s heeft in een recent verleden grote gevolgen gehad voor politiekgevoelige dossiers bij Provincies. Zo speelde bijvoorbeeld in de Provincie Zuid- Holland de Ceteco-affaire, waarbij is gebleken dat de Provincie op grote schaal in geld handelde, zonder dat Provinciale Staten hier van af wisten. In de Provincie Gelderland was sprake van een affaire rond het evenementenbeleid, waarbij geld is toegekend voor activiteiten, die in strijd met de regels- niet waren goedgekeurd door Provinciale Staten. Ook de kredietcrisis toont aan dat niet alleen in de financiële wereld sprake is van een toenemende behoefte aan een adequaat functionerend risicomanagement. In de loop van 2008 bleek dat gemeentelijke en provinciale overheden vele miljoenen euro's hebben uitstaan bij IJslandse banken. Een onderzoek 1 naar het financiële beleid van de Provincie 1 Triple R, regels, Rendement en Risico, provinciale onderzoekscommissie Noord-Holland, 29 mei

12 Noord-Holland, concludeerde dat de Provincie ten onrechte geen actief risicomanagement voerde. De uitkomsten van dit onderzoek leidden tot het aftreden van het voltallige College van Gedeputeerde Staten in juni Verschillende ontwikkelingen zorgen ervoor dat voor de Provincies de aandacht voor het voeren van een gestructureerde, integrale aanpak van risicomanagement meer dan ooit gewenst is. Daarbij is een onderscheid te maken tussen recente externe ontwikkelingen (decentralisatiediscussies, kredietcrisis) en ontwikkelingen vanuit wet- en regelgeving. Als gevolg van genoemde veranderingen staat de legitimiteit van de Provincie als middenbestuur onder druk. Er is verwarring over de vraag wie verantwoordelijk is voor fouten en wat de gevolgen van een dergelijke verantwoordelijkheid moeten zijn [Noordergraaf, 2008]. De druk vanuit de samenleving op overheidsbestuur om te ordenen en te regelen, bijvoorbeeld om risico s in te dammen, neemt toe. De Provincies hebben vanuit het Besluit Begroting en Verantwoording [BBV, 2003] weliswaar de verplichting om beleid te voeren op het gebied van risicomanagement, de praktijk vraagt echter een bredere benadering met integratie van risicomanagement in de dagelijkse praktijk. Er is dan ook in toenemende mate behoefte aan een organisatiebrede aanpak van risicomanagement en een gemeenschappelijk kader [Hortensius, 2008]. Het managen van risico s kan niet louter als een technische kwestie worden voorgesteld, waarbij de stappen van risico-identificatie, -analyse, monitoring en bijsturing wordt doorlopen. Het managen van risico s is bij uitstek een politiek vraagstuk [Noordergraaf, 2008]. Er zijn talloze raamwerken ontwikkeld om bedrijven en organisaties te helpen om risico s te managen. Het risicoraamwerk is het kader dat ervoor moet zorgen dat risicomanagementprocessen zijn ingebed in de managementstructuur en besluitvormingsprocessen van de organisatie en dat ze worden aangestuurd vanuit een duidelijke visie en beleid op de functie van risicomanagement voor de organisatie. De grote hoeveelheid aan publicaties suggereren dat een risicoraamwerk een makkelijk te ontwikkelen instrument is, waar je na implementatie, als organisatie snel beter van wordt. Het tegendeel blijkt waar. Draagvlak, houding en gedrag zijn een belangrijke succes- en faalfactor voor het adequaat managen van risico s. Zonder draagvlak van het management kan nooit sprake zijn van succesvol integraal risicomanagement [ t Hart, 2009]. De tot dusver ontwikkelde raamwerken hebben met name betrekking op private organisaties. Voor Provincies verschilt de (politiek-bestuurlijke) context echter wezenlijk 2

13 van dat van private organisaties. Het is voor Provincies van belang om risico s te kunnen koppelen aan de doelstellingen, zoals deze zijn opgenomen in het coalitieakkoord en doorvertaald in de programmabegroting. Daarmee kan worden bereikt dat risicomanagement bijdraagt aan de minst risicovolle manier van doelbereik [ t Hart, 2008]. In 2005 is besloten een internationale generieke richtlijn voor risicomanagement te ontwikkelen, die eind 2009 zal worden gepubliceerd. Deze richtlijn: ISO-31000, beoogt een gemeenschappelijk begrippenkader en generiek raamwerk te bieden voor het managen van allerlei typen risico s. In dit onderzoek wordt, op basis van de uitgangspunten van ISO-31000, inzicht verschaft in de kritische succesfactoren van een instrument, geschikt voor toepassing van risicomanagement bij Provincies. 1.2 Leeswijzer Dit rapport en het beschreven onderzoek zijn opgebouwd volgens de methoden van Verschuren en Dodewaard [2007]. Hoofdstuk 1 Inleiding Hoofdstuk 3 Literatuuronderzoek Hoofdstuk 5 Onderzoeksresultaten Hoofdstuk 2 Opdracht en onderzoek Hoofdstuk 4 Methodologie Hoofdstuk 6 Conclusies In het eerste hoofdstuk wordt de achtergrond van het onderzoek beschreven. In hoofdstuk twee wordt ingegaan op de onderzoeksopdracht. Vervolgens geeft hoofdstuk drie inzicht in de onderzoeksoptiek aan de hand van literatuuronderzoek. De onderzoeksopzet is uitgewerkt in het vierde hoofdstuk. De onderzoeksresultaten zijn beschreven in hoofdstuk 5, waarna tenslotte in hoofdstuk 6 de conclusies benoemd zijn. 3

14 4

15 2 OPDRACHT EN ONDERZOEK In dit hoofdstuk wordt afgebakend wat de opdracht is en welk onderzoek daarbij wordt uitgevoerd. Er wordt ingegaan op de probleem- en doelstelling van het onderzoek (2.1), de onderzoeksaanpak en de onderzoeksvragen (2.2). In paragraaf 2.3 wordt tenslotte de aanpak toegelicht. Hoofdstuk 1 Inleiding Hoofdstuk 2 Opdracht en onderzoek Hoofdstuk 3 Literatuuronderzoek Hoofdstuk 4 Methodologie Hoofdstuk 5 Onderzoeksresultaten Hoofdstuk 6 Conclusies 2.1 Probleem- en doelstelling Probleemstelling Naar aanleiding van de in de inleiding genoemde ontwikkelingen, dringt de vraag zich op hoe Provincies zich op een zo gestructureerd mogelijke manier risicomanagement eigen kunnen maken. Centraal daarbij staat niet alleen het ontwikkelen van risicomanagementbeleid, maar met name het beschikken over raamwerk om haar processen, activiteiten te managen, zodat deze aansluiten bij de vastgestelde doelstellingen. De tot dusver ontwikkelde raamwerken hebben met name betrekking op private organisaties. Voor Provincies verschilt de (politiek-bestuurlijke) context echter wezenlijk van dat van private organisaties. Een sectorspecifiek instrument van risicomanagement voor provincies ontbreekt. De probleemstelling luidt dan ook: Voor de toepassing van risicomanagement bij Provincies is geen geschikt raamwerk voorhanden. Het risicoraamwerk is het kader dat ervoor moet zorgen dat risicomanagementprocessen zijn ingebed in de managementstructuur en besluitvormingsprocessen van de organisatie en dat ze worden aangestuurd vanuit een duidelijke visie en beleid op de functie van risicomanagement voor de organisatie. Met de toepassing worden bedoeld alle benodigde activiteiten, om de routinematige toepassing van risicomanagement binnen een organisatie te waarborgen Doelstelling Met de doelstelling van het afstudeeronderzoek wordt bedoeld het doel dat beoogd is met het bereiken van de resultaten van het onderzoek. De doelstelling van het afstudeeronderzoek is: Inzicht krijgen in de geschiktheid van ISO als instrument voor de toepassing van risicomanagement bij de Provinciale overheid. 5

16 2.2 Onderzoeksopzet Het onderzoek is erop gericht om inzicht te krijgen in kritische succesfactoren voor een raamwerk, geschikt voor toepassing van risicomanagement bij de Provincies. Dit proces wordt hieronder uitgewerkt in een onderzoeksmodel, waarna vervolgens het model wordt gesplitst in onderzoeksvragen. Een uitgebreide opzet en verantwoording van het methodisch onderzoek is opgenomen in hoofdstuk 4 van deze rapportage Onderzoeksmodel Om vanuit bovengeschetst kader uiteindelijk de onderzoeksvragen te kunnen beantwoorden, wordt in onderstaand onderzoeksmodel, volgens methode van Verschuren en Dodewaard [2007], verband gelegd tussen de verschillende onderzoeksstappen. Theorie openbaar bestuur Literatuur risicomanagement Criteria risicoframework op basis ISO Criteria middels Interviews Onderzoeks resultaten Gesprekken deskundigen Literatuur Public Governance Toetsing criteria experts Criteria middels enquête Conclusies Documentonderzoek Provincies Wet- en regelgeving Provincies Legenda: praktijkonderzoek literatuuronderzoek analyse (A) (B) (C) (D) (E) (A) De bestudering van verschillende theorieën (openbaar bestuur, risicomanagement, risicomanagementinstrumenten, management control, e.a.), onderzoeken, strategische beleidsdocumenten (o.a. programmabegroting, paragraaf weerstandsvermogen), bestudering van het Besluit Begroting en Verantwoording van Provincies en Gemeenten (BBV) en gesprekken met deskundigen (vooronderzoek) levert uiteindelijk (B) een uitdieping op van bestaande risicomanagement-raamwerken en meer specifiek ISO Het levert vervolgens op basis van de ISO richtlijn, beoordelingscriteria op (C) waarmee de toepassing van risicomanagement bij Provincies kan worden getoetst (D). Beoordeling van deze criteria bij Provincies (interviews en vragenlijsten) levert onderzoeksresultaten en conclusies op voor de geschiktheid van ISO als instrument voor risicomanagement bij Provincies (E). 6

17 2.2.2 Onderzoekstype Het type onderzoek laat zich het beste beschrijven als een praktijkgericht onderzoek. Met het onderzoek wordt immers beoogd een bijdrage te leveren aan een toepassing van een instrument voor risicomanagement bij Provincies. De uiteindelijke beantwoording van de (deel)vragen gebeurt op basis van een probleemanalytisch onderzoek. Vanwege de politiek-bestuurlijke belangen en context van de provinciale organisatie is bewust gekozen voor een probleemverkennende analyse en niet voor een ontwerp- en/of interventiegericht onderzoek Centrale vraagstelling In deze paragraaf wordt de doelstelling vertaald in een drietal centrale onderzoeksvragen, met behulp van een splitsing van het onderzoeksmodel. Hierbij worden de centrale onderzoeksvragen gekoppeld aan een gesplitst onderzoeksmodel en onderverdeeld in deelvragen. De eerste centrale vraag heeft betrekking op onderzoeksstap (A) en (B), zoals benoemd in paragraaf en betreft de bronnen van de beoordelingscriteria, waarmee de toepassing van het bestaand risicomanagement kan worden beoordeeld. 1. Welke kritische factoren over toepassing van risicomanagement zijn te onderkennen na bestudering van de literatuur hierover? 1.1. Wat is een risico? 1.2. Wat is risicomanagement? 1.3. Welke uitgangspunten hanteert ISO als instrument voor risicomanagement? De tweede centrale vraag is gebaseerd op onderzoeksstap (C). 2. Welke criteria dienen te worden gehanteerd voor een succesvolle toepassing van risicomanagement bij de Provinciale overheid? 2.1. Welke invloed heeft de Provinciale politiek/bestuurlijke context op risicomanagement? 2.2. Wat is de risicoagenda van Provincies? 2.3. Welke criteria voor risicomanagement sluiten het beste aan bij de Provinciale overheid? De derde en laatste centrale vraag is gebaseerd op onderzoeksstap (D) en (E). Waarbij de criteria voor toepassing van risicomanagement worden beoordeeld bij provincies. 3. Is ISO geschikt als instrument voor de toepassing van risicomanagement bij Provincies? 7

18 3.1. Welke conclusies kunnen worden getrokken op basis van de beoordeling van de criteria aan bestaand risicomanagement bij Provincies? In onderstaande tabel staat vermeld in welke hoofdstukken de centrale vragen worden beantwoord: Tabel 1. beantwoording van centrale vragen: Centrale vraag Beantwoord in hoofdstuk 1 Kritische succesfactoren risicomanagement 3 Literatuuronderzoek 2 Criteria risicomanagement Provincies 5 Resultaten van onderzoek 3 Conclusies 6 Conclusies 8

19 3 Literatuuronderzoek De opzet van dit hoofdstuk is drieledig. Enerzijds worden de in dit onderzoek te hanteren begrippen afgebakend en gedefinieerd (3.1 t/m 3.3). Vervolgens wordt literatuuronderzoek verricht naar raamwerken, die worden Hoofdstuk 1 Inleiding Hoofdstuk 2 Opdracht en onderzoek Hoofdstuk 3 Literatuuronderzoek Hoofdstuk 4 Methodologie Hoofdstuk 5 Onderzoeksresultaten Hoofdstuk 6 Conclusies gehanteerd voor het managen van risico s (3.4 en 3.5). Het derde deel tenslotte bestaat uit de studie naar de (invloeden van de) risicoagenda bij Provincies (3.6 en 3.7). In paragraaf 3.8 tenslotte worden de begrippen geoperationaliseerd. 3.1 Inleiding Het vakgebied van risicomanagement staat de afgelopen decennia volop in de belangstelling, de aandacht voor risico s is explosief toegenomen [Wetenschappelijke Raad voor Regeringsbeleid, 2008]. Meest recent is er aandacht voor risicomanagement vanwege de economische crisis. Onderzoek onder bedrijven van financiële dienstverlening toont aan dat zeventig procent van executives in de financiële dienstverlening vindt dat de verliezen die zijn gemaakt in de kredietcrisis voornamelijk te wijten zijn aan onvoldoende aandacht voor verschillende factoren rond risicomanagement. In hetzelfde onderzoek geeft 60 procent van de respondenten aan dat de kredietcrisis aanleiding is om de activiteiten op het gebied van risicomanagement kritisch te bekijken [Economist Intelligence Unit, 2008]. Risicomanagement is niet een nieuw fenomeen. In iedere organisatie zijn immers al procedures, maatregelen, (ISO) richtlijnen en controles aanwezig die tot doel hebben om risico s te managen en te beheersen. Bekende beheerssystemen zijn onder meer de administratieve organisatie, interne controles, milieu- en kwaliteitsmanagement (ISO en ISO-9001). Er kan worden gesteld dat iedere organisatie reeds aan risicomanagement doet [Paape, 2005]. 3.2 Risico Om vast te stellen wat onder risicomanagement moet worden verstaan is het van belang eerst vast te stellen wat een risico is. Risico is geen eenduidig begrip. Er zijn meer definities van het begrip risico gangbaar. Vier van deze definities zijn [International risk governance council, 2005] een overzicht van de meest gehanteerde terminologieën: 1. risico is de kans op een ongewenste gebeurtenis bij een proces of object; 2. risico is kans x gevolg; 3. risico is de onzekerheid (kans) dat een gebeurtenis zich voordoet waarbij zowel positieve als negatieve effecten kunnen optreden; 4. risico is de kans op een gebeurtenis, die de doelstelling kan beïnvloeden. 9

20 De eerste definitie is voor het algemene geval niet goed bruikbaar. De risico s die betrekking hebben op kleine kansen met zeer grote gevolgen of grote kansen met kleine gevolgen, zullen bij gebruik van de eerste definitie niet goed tot uitdrukking komen. De tweede definitie geeft een betere basis voor vergelijking van risico s. het betreft de meest gangbare definitie, waarbij de kans op een bepaalde gebeurtenis wordt gecombineerd met de gevolgen daarvan in de veelgebruikte formule risico = kans x gevolg. In feite wordt een verwachtingswaarde van het gevolg van een proces bepaald. In sommige gevallen komt dit overeen met het verlies dat mogelijk op de lange termijn optreedt. De kans op een ongewenste gebeurtenis en het gevolg van deze gebeurtenis spelen een even belangrijke rol in deze definitie. De derde definitie zet risico neer als een neutraal begrip (kansen en bedreigingen). In feite zijn de eerste twee definities bijzondere vormen van de derde. Het biedt de mogelijkheid om aan het gevolg van een ongewenste gebeurtenis een gewicht toe te kennen, dat afhankelijk is van de ernst van het gevolg. Deze effecten kunnen beleidsmatig-, organisatorisch, politiek/bestuurlijk en/of financieel van aard zijn. De vierde definitie tenslotte is de meest algemene van de vier genoemde, waarbij aansluiting wordt gezocht bij het omgaan van onzekerheden die zowel positieve als negatieve effecten kunnen hebben op de resultaten en daarmee doelstellingen van een organisatie. Voor een organisatie zijn risico s alle potentiële gebeurtenissen die het behalen van de doelstellingen van de organisatie kunnen bevorderen dan wel kunnen belemmeren. Deze definitie sluit het meest aan bij de definitie van risico, volgens ISO 31000: Het effect van onzekerheid op doelstellingen. De in dit onderzoek gehanteerde definitie voor risico is dan ook als volgt gedefinieerd: Risico is de onzekerheid dat een gebeurtenis zich voordoet waarbij zowel positieve als negatieve effecten kunnen optreden, die van invloed zijn op het doelbereik. 3.3 Risicomanagement Over het begrip risicomanagement circuleren in de wetenschappelijke literatuur talrijke definities. Het International Risk Governance Council geeft in haar publicatie [2005] een overzicht van de meest gehanteerde terminologieën. De meest gangbare definities van risicomanagement kunnen als volgt worden onderverdeeld: 1. Risicomanagement is het geheel van activiteiten en maatregelen gericht op het omgaan met en beheersen van risico s. 10

21 2. Risicomanagement omvat de gecoördineerde activiteiten om een organisatie te kunnen sturen en controleren met betrekking tot risico s. 3. Risicomanagement is het vormgeven van een gestructureerd proces van identificeren, analyseren, managen en rapporteren van risico s op alle niveaus in de organisatie. 4. Risicomanagement is een proces dat bewerkstelligd wordt door het bestuur van de onderneming, het management en ander personeel en wordt toegepast bij het formuleren van de strategie en binnen de gehele onderneming, ontworpen om potentiële gebeurtenissen die invloed kunnen hebben op de onderneming te identificeren en om risico s te beheren zodat deze binnen de risicoacceptatiegraad vallen, om een redelijke zekerheid te bieden ten aanzien van het behalen van de ondernemingsdoelstellingen. 5. Risicomanagement omvat de cultuur, processen en structuren, gekoppeld aan een het realiseren van kansen en het effectief management van de effecten daarvan. De eerste drie definities richten zich in min of meer dezelfde terminologie op de te doorlopen basisstappen van het risicomanagementproces. In de traditionele risicobenadering worden twee fasen onderscheiden: het identificeren en beoordelen van risico s (risicoassesment) en het nemen van maatregelen die niet acceptabel geachte risico s beperken of beheersbaar maken (risicomanagement) [Wetenschappelijke Raad voor het Regeringsbeleid, 2008]. Ongeacht de exacte uitwerking en invulling van de verschillende stappen komt overal hetzelfde grondpatroon van vier stappen naar voren. De eerste stap is het identificeren van risico s, waarbij het zaak is een zo volledig mogelijk beeld te krijgen van de verschillende risico s binnen een organisatie. Wanneer de risico s bekend zijn, is het zaak deze te beoordelen. Dit schept duidelijkheid over de vraag welke risico s de grootste bedreiging vormen en waarvoor het eerst beheersmaatregelen genomen moeten worden. Vervolgens ontwerpt men tijdens de volgende fase, aan de hand van de prioriteiten, beheersmaatregelen. Ook de implementatie van beheersmaatregelen behoort tot deze fase. De laatste stap is het rapporteren over de risico s en beheersmaatregelen en de evaluatie van de laatste. Om de risico s zo klein mogelijk te houden of de gevolgen zo goed mogelijk op te kunnen vangen, is continue aandacht voor alle vier de stappen noodzakelijk. Hierbij is het van belang om zowel naar het te verwachten gevolg van een risico te kijken als naar de kans dat het zich voordoet, alsmede naar de kosten (in tijd, geld en middelen) van het nemen van beheersmaatregelen. De vierde definitie omvat een expliciete koppeling naar het doelbereik en is afkomstig van het COSO. Het is echter een zeer uitgebreide definitie. Why not adopt a definition that is 11

22 brief and easily remembered? [Knight, 2008]. Volgens Knight staat niet zozeer het gebruik van een juiste definitie centraal. Succesvol risicomanagement is alleen dan mogelijk, wanneer dit is gekoppeld aan het bereiken en managen van doelstellingen. De vijfde definitie (Australian/New Zealand Risk Standard 4360) toont aan dat niet alleen de te doorlopen stappen van belang zijn, maar dat de (aanwezigheid) van cultuur- en structuuraspecten van groot belang is, voor een succesvol risicomanagement binnen een organisatie. Daarnaast maakt de definitie duidelijk dat risicomanagement pas effectief werken als het een integraal onderdeel is van processen in een organisatie. De definitie voor risicomanagement, zoals gehanteerd in dit onderzoek is ontleend aan de definitie voor kwaliteitsmanagement uit ISO-9000 [Bergenhenegouwen, 2003] en aangevuld met de koppeling naar doelbereik. Risicomanagement omvat de gecoördineerde activiteiten, gekoppeld aan een effectief management van gebeurtenissen en de effecten daarvan op de doelstellingen van de organisatie. 3.4 Risicoraamwerk Met de inwerkingtreding van de Foreign Corrupt Practices Act in 1997 in de Verenigde Staten, is de ontwikkeling van interne beheersing in een stroomversnelling geraakt [Santen, 2006]. Deze wet bepaalt dat het illegaal is om een inadequaat intern beheersingsysteem te voeren. De vele financiële (boekhoud- en rapporterings-) schandalen die volgden, zorgden voor de verdere ontwikkeling van risicomanagement. Het heeft geleid tot de corporate governancestructuren, zoals de Sarbanes Oxley wetgeving uit de Verenigde Staten. Ook Europa en ons eigen land zijn niet vrij van de nodige missers en schandalen (Worldonline, Ahold, Qwest, ESF/Arbeidsvoorziening, de bouwfraude, de Hogescholen fraude enzovoort). Mede daarom zijn in Europa en in Nederland diverse wetgevende initiatieven ontplooid [Herwaarden, 2003]: de International Financial Reporting Standards (IFRS) die vanaf 2005 verplicht moeten worden toegepast in de geconsolideerde jaarrekeningen van beursgenoteerde vennootschappen in Europa; aanbevelingen van de commissie-peters inzake corporate governance, goed ondernemingsbestuur en -toezicht (1997) met het bijbehorende evaluatierapport (2002) over vijf jaar corporate governance in Nederland inzake de status van de aanbevelingen van de commissie-peters; 12

23 corporate governance code voor Nederland, opgesteld door de commissie onder leiding van Morris Tabaksblat [Code Tabaksblat, 2003]. In de code Tabaksblat zijn de belangrijkste uitgangspunten van een goede corporate governace uitgewerkt met betrekking tot het bestuur, de raad van commissarissen, de aandeelhouder en de accountant. De code gaat wat betreft reikwijdte verder dan Sarbanes-Oxley (PwC 2005). In de code wordt gesteld dat als onderdeel van het interne beheersings- en controlesysteem, een vennootschap onder meer risicoanalyses uit dient te voeren van de operationele en financieel doelstellingen. De code geeft echter geen nadere richtlijnen ten aanzien van de inrichting van de interne beheersings- en controlesystemen. Daarnaast worden de ondernemingen vrij gelaten in de wijze van rapporteren over de gehanteerde risicobeheersings- en controlesystemen (PwC, 2005). De code is overigens alleen van toepassing op statutair in Nederland gevestigde en aan de Euronext genoteerde ondernemingen, dat wil zeggen op circa 0,2 % van de in Nederland gevestigde ondernemingen van toepassing [Santen e.a.; 2006]. De vraag lijkt gerechtvaardigd of wettelijke verankering van eisen ten aanzien van risicomanagement de oplossing is [PwC, 2005]. Het gevaar schuilt erin dat risicomanagement wordt ervaren als een verplichte managementtool, met als uiteindelijke doel: het hebben voldaan aan wet- en regelgeving. In de loop der jaren zijn er voor het managen van risico s verschillende modellen gebruikt. In seeking help, you ll find an abundance of risk management frameworks, (..) developed by consulting organizations, national standards (..).[Rasmussen, 2007]. In 1992 werd er in de Verenigde Staten een framework gepresenteerd voor interne beheersing. Dit framework: Committee of Sponsoring Organizations of the Treadway Commission (COSO) richt zich in eerste instantie op de interne beheersing van de financiële processen van een onderneming. Kanttekening bij dit model is dat er weinig aandacht is gegeven voor gedragsverandering [Santen e.a., 2006; Faber, 2006], dat het niet voorziet in een eenduidig normenkader (Faber, 2006) en dat een eenduidige stappenplan ontbreekt voor de implementatie van risicomanagement binnen een organisatie [Faber, 2006]. Eind 2004 is er een nieuwe versie van het COSO raamwerk gepubliceerd [COSO, 2004], te weten Enterprise Risk Management-Integrated Framework (COSO-ERM) waarbij de nadruk meer is komen te liggen bij risicomanagement ten opzichte van de eerste versie van het COSO raamwerk en de explicietere koppeling naar strategie voor de inrichting van risicomanagement en interne beheersingsystemen. 13

24 Feyter [2006] plaatst als kanttekening bij het herziene COSO-model dat de principes niet rechtstreeks aansluiten op de reguliere planning & control -cyclus waaraan de interne beheersing in het Nederlandse ondernemingen doorgaans wordt opgehangen. Juist deze verankering van interne beheersing en risicomanagement aan deze cyclus maakt dat risicobeheersing blijvend onder de aandacht wordt gehouden en dat het een natuurlijk, onderhoudbaar en herkenbaar proces wordt. Een ander nadeel dat in de literatuur wordt genoemd [Feyter, 2006], is dat COSO toch nog vooral lijkt uit te gaan van centraal geleide, topdown gestuurde organisaties. Dat is enigszins begrijpelijk omdat het een Amerikaanse publicatie is. Maar voor Nederlandse organisaties is dit gegeven wel iets om rekening mee te houden wanneer zij de principes naar hun eigen organisatie vertalen, zeker als deze niet, zoals veel Amerikaanse bedrijven, topdown wordt aangestuurd. De strategie, organisatiecultuur en de keuze van besturingsprincipes bepalen immers in grote mate de wijze waarop de interne beheersing wordt ingericht. Het typeren van de strategie en de besturingsprincipes wordt regelmatig vergeten of onderbelicht bij het vastleggen, begrijpen en beoordelen van de interne beheersing. COSO erkent de invloed van organisatiecultuur op de effectiviteit van het raamwerk en daarmee van risicomanagement. Als belangrijkste kanttekening benoemt de organisatie de menselijke oordeelsvorming bij het nemen van onvolledige of onjuiste beslissingen. Een andere beperking is het kunnen omzeilen van beheersmaatregelen door samenspanning van twee of meer mensen, waardoor het management de mogelijkheid heeft om beslissingen, genomen in het kader van risicomanagement, terzijde te schuiven (Coso 2004). De aanleiding voor organisaties om risicomanagement vorm te geven verschilt sterk en is bepalend voor de effectiviteit ervan. Volgens Knight houdt COSO hier onvoldoende rekening mee: COSO slips into the fatal fallacy of trying to tell us how to do it rather than why [Knight, 2008]. In de praktijk blijkt het vaak moeilijk om organisaties duurzaam enthousiast te maken voor het onderwerp risicomanagement en interne beheersing als zodanig, laat staan om daarbij expliciet het COSO-raamwerk te hanteren [Faber, 2006]. Dit gebrek aan enthousiasme wordt vaak veroorzaakt door het hardnekkige misverstand dat risicomanagement en interne beheersingssystemen het goed functioneren en het aanpassingsvermogen van organisaties eerder belemmeren dan bevorderen. 14

25 Volgens Ali Samad-Khan [2005] geeft COSO een gesimplificeerd beeld van de werkelijkheid, dat kan leiden tot een logge controlstructuur, met een grote kans dat gebieden worden ontzien, waar juist de grootste risico s zich kunnen voordoen. Hij is stellig ten aanzien van de tekortkomingen van COSO: Coso not only fails to help a firm asses its risks, it actually obfuscates the risk management process. Ondanks genoemde kanttekeningen, wordt COSO internationaal nog steeds gezien als hét raamwerk voor interne beheersing. Ook Tabaksblat [2003] noemt in de code het COSO raamwerk voor interne beheersing, als voorbeeld voor een te gebruiken normenkader om te voldoen aan de eis dat het bestuur verklaart dat de interne risicobeheersings- en controlesystemen adequaat en effectief zijn. Voor de integrale benadering van risicomanagement dreigt een wildgroei aan verschillende systemen en richtlijnen [Hortensius, 2007]. Naast COSO zijn er ook nog andere risicoraamwerken ontwikkeld, waarvan de standaard vaak haar oorsprong heeft binnen een bepaalde branche of bepaald land (Paape, 2005). Zo is er de Australian/New Zealand Risk Management Standard 4360 waarvan reeds in 1995 de eerste versie werd uitgegeven door de Council of Standards van beide landen. In 1999 en in 2004 verscheen een geactualiseerde versie van deze standaard. Voorbeelden van branchespecifieke risicomanagement-standaarden zijn Bazel IT voor het bankwezen en Solvency II voor de verzekeringsbranche. 3.5 ISO Ook de Internationale Organisatie voor Standaardisatie (ISO) heeft van zich laten horen op het terrein van risicomanagement: in 2002 verscheen een richtlijn voor het gebruik van risicomanagementtermen in standaarden [ISO/TEC Guide 73]. ISO is een nongouvernementeel netwerk van nationale standaardisatieorganisaties, waar instituten uit 157 landen (onder wie ook het Nederlands Normalisatie-instituut NEN) bij zijn aangesloten. ISO is opgericht in 1947, met als doel om normen vast te stellen en om organisaties voordeel te laten halen uit het toepassen van internationale normen en uit de implementatie van kwaliteitsmanagement-systemen [Schoutrop, 2006]. ISO heeft inmiddels standaarden ontwikkeld, ieder jaar worden 1100 nieuwe gepubliceerd [ISO.org, november 2008]. De standaarden kunnen worden toegepast voor elke organisatie. 15

26 Het publiceren van een ISO-richtlijn voor het gebruik van risicomanagementtermen in standaarden kent zijn oorsprong in In dat jaar confronteerde de aardbeving Japan met het belang van het inschatten van risico s en het treffen van maatregelen om effecten van onverwachte gebeurtenissen te minimaliseren. Daarom pleitten de Japanse autoriteiten tien jaar geleden voor een universele norm voor risicomanagement, te ontwikkelen door ISO. Uit angst bij het bedrijfsleven voor een nieuwe golf van certificering, werd gekozen voor een veilige oplossing, namelijk de ontwikkeling van een Guide met termen en definities op het gebied van risicomanagement. Dat werd uiteindelijk ISO/IEC Guide 73, Riskmanagement Vocabulary Guidelines for use in standards`, die in 2002 werd gepubliceerd. De titel geeft al aan dat de Guide vooral bedoeld was om harmonisatie te bevorderen binnen het bouwwerk van ISO-normen. Een uniform taalgebruik helpt dan al om vanuit die specifieke normen en richtlijnen een meer integrale kijk op risico s te ontwikkelen. In 2005 slaagde Japan er met de hulp van Australië toch in de geesten rijp te maken voor een algemene richtlijn voor risicomanagement. Door ISO is in 2005 besloten een internationale generieke ISO-richtlijn voor Risicomanagement te ontwikkelen: ISO Risk management - Guidelines for principles and implementation of risk management. ISO beoogt een gemeenschappelijk begrippenkader en generiek raamwerk te bieden voor het managen van allerlei typen risico s. Naderhand is ook de herziening van ISO Guide 73 Risk Management Vocabulary aan de ISO-werkgroep toevertrouwd. Via NEN, het Nederlandse lid van ISO, wordt door Nederlandse belanghebbende partijen deelgenomen aan dit ISO-project. Hiertoe is in 2006 de normcommissie Risicomanagement opgericht. De doelstelling van de normcommissie is tweeledig (NEN, 2008). Enerzijds verzorgt en bepaalt de normcommissie de Nederlandse inbreng bij de internationale normalisatie op het gebied van Risicomanagement (Risk Management), zoals die plaatsvindt in de internationale werkgroep ISO/TMB/WG/RM. Anderzijds faciliteren de normcommissie de implementatie en toepassing van de generieke ISOrichtlijn op nationaal en bedrijfstakniveau, zo nodig door het ontwikkelen van specifieke richtlijnen die een nadere invulling geven van het generieke ISO-kader voor risicomanagement [NEN, 2008]. Zie voor een toelichting op de Nederlandse Normcommissie Nederland ook bijlage 3. Een ISO-richtlijn als overkoepelend raamwerk voor risicomanagement lijkt voor de hand te liggen. De verschillende afzonderlijke ISO-normen voor managementsystemen, zoals ISO 9001 en ISO 14001, beschrijven immers al systemen voor het beheersen van maatregelen 16

27 en risico s, waarbij de eerder genoemde stappen uit de risicomanagementcyclus (risicoidentificatie, risico-analyse, monitoring risico s en bijsturen) moeten worden doorlopen. Het managementsysteem zoals beschreven in de verschillende normen zijn in de kern risicomanagementsystemen voor specifieke risico s, zoals kwaliteits- en milieurisico s. Deze normen voor managementsystemen beschrijven wat een organisatie moet doen om de (risicoaspecten van) haar processen en activiteiten te managen zodat de resultaten en uitkomsten aansluiten bij de vastgestelde doelstellingen. Goede managementsystemen zijn gebaseerd op twee principes: de procesbenadering en de Demingcirkel (Hortensius, 2003). De procesbenadering houdt in dat de bedrijfsprocessen uitgangspunt zijn voor de inrichting van het managementsysteem. De Demingcirkel [Deming, 1987] betreft de opeenvolgende fasen van een proces (Plan, Do, Check, Act) dat is gericht op het realiseren van doelen op een steeds effectievere en efficiëntere manier. Door de Demingcirkel steeds opnieuw te doorlopen, en de daarmee behaalde resultaten, kunnen managementsystemen worden verbeterd. Als managementsysteem is ISO dan ook op de Demingcirkel en op een procesbenadering gestoeld. ISO bestaat uit drie hoofdonderdelen [NEN, 2008]: (1) de uitgangspunten voor risicomanagement, (2) het raamwerk voor risicomanagement en (3) het risicomanagementproces. Figuur 1. Onderlinge samenhang van de onderdelen van ISO a) Het voegt waarde toe en dr aagt bij aan organ isatieverbetering b) Integraal onderdeel van (besluitvormings)processen Mandaat en commitment Ontwerp het raamwerk v oor risicomanagement c) Het is m aat wer k, p assend bij de organisatiecontext d) Een system atisch en op feiten gebaseerd proces e) Het is open en tran sparant en houdt rekening met menselij ke en culturele factoren Continue verbeteren van het raamwerk Monitoren en analyserenv an het raamwerk Implementeren van risicomanagement Uitgangspunten Raamwerk Proces Bron: Hortensius,

28 Om als effectief instrument te kunnen dienen, gelden met betrekking tot ISO onder meer de volgende principes voor risicomanagement: 1. Het voegt waarde toe en draagt bij aan organisatieverbetering 2. Het is een integraal onderdeel van (besluitvormings)processen 3. Het is maatwerk, passend bij de organisatiecontext 4. Een systematisch en op feiten gebaseerd proces 5. Het is open en transparant en houdt rekening met menselijke en culturele factoren De eerst drie kenmerken vormen de basis voor het raamwerk van risicomanagement, de laatste twee zijn vooral terug te vinden in het risicomanagementproces. In het hart van het proces, zitten de bekende stappen van het identificeren, analyseren en evalueren van risico s, zoals deze verbonden zijn aan het proces, product, project of organisatie als geheel. Die stappen vormen samen de risicobeoordeling. Ook het Nederlands Instituut voor Registeraccountants (NIVRA) geeft in haar publicatie Via interne beheersing naar Corporate Governance [2002] aan dat voor een effectieve risicobeoordeling, de organisatiedoelstellingen voor processen en activiteiten moeten worden vastgesteld en in onderlinge samenhang beoordeeld. Die beoordeling kan alleen worden uitgevoerd, als de context en scope goed zijn bepaald. Die context wordt gedeeltelijk ontleend aan het risicomanagement-raamwerk, maar voor de risicobeoordeling van een specifieke situatie kan en moet die context gedetailleerder worden bekeken. Aan een dergelijke contextbepaling worden bijvoorbeeld specifieke criteria ontleend om de risico s te beoordelen. Vanuit de contextbepaling wordt ook duidelijk welke personen/afdelingen/programma s/projecten moeten worden geconsulteerd of betrokken bij de risicobeoordeling. Op basis van de beoordeling wordt vervolgens besloten of en hoe het risico wordt behandeld. Het raamwerk dient daarbij als een kader om ervoor te zorgen dat risicomanagementprocessen ingebed worden en aansluiten bij de algemene besluitvormingsprocessen van de organisatie. 18

29 Figuur 2. Risicomanagementproces volgens ISO Bepaal de context 6.4 Risico beoordeling Risico identificatie 6.2 Com m unicatie advies en Risico analyse 6.6 M o n ito re n en evaluatie Risico evaluatie 6.5 Risicobeheersing bron: Hortensius, ISO tracht een complete beschrijving te geven van de verschillende zaken die relevant zijn voor risicomanagement. Daarbij wordt niet alleen ingezoomd op het risicomanagementproces, maar ook op de context ervan, waarin mandaten worden afgegeven door opdrachtgevers en waarbij stakeholders nadrukkelijk worden betrokken bij het proces. Door het benoemen van zowel de context als het proces zelf, ontstaan twee nauw met elkaar verweven processen: (1) het opstellen, uitvoeren, monitoren en bijsturen van het risicomanagement raamwerk, als een kader om ervoor te zorgen dat risicomanagementprocessen ingebed worden en aansluiten bij de algemene (besluitvormings)processen van de organisatie. (2)het opstellen, uitvoeren, monitoren en communiceren van het risicomanagementproces. Tevens worden principes van risicomanagement betrokken bij deze twee processen, die in grove lijnen dienen als sturende elementen achter de voorgaande twee processen. Belangrijke uitgangspunt is overigens dat ISO geen eisenstellende (certificeerbare) norm wordt voor een risicomanagementsysteem. Iedere organisatie of sector kan het beste zelf bepalen welke risicomanagementaanpak het beste past bij haar doelen, (markt)situatie, klanten e.d. For this reason, the ISO is designed not to be certifiable but to focus on general principles and guidelines. [Shortreed, 2007]. Certificering heeft bovendien voor de meeste organisaties vooral een externe functie: het onafhankelijke bewijs richting klanten of andere belanghebbenden, dat er sprake is van een managementsysteem dat aan de norm voldoet [Hortensius, 2003]. Daarvoor bestaat 19

30 vooralsnog geen draagvlak onder de leden van ISO en dat was ook het standpunt van de door NEN in Nederland geconsulteerde belanghebbende partijen toen in 2005 een stem moest worden uitgebracht op het ISO-voorstel [Hortensius, 2008]. In een vergelijking van COSO en ISO schetst Awad Loubani de belangrijkste verschillen tussen de 2 modellen. Concluderend kan worden gesteld dat ISO meer de ruimte biedt om een maatwerkoplossing voor risicomanagement te zijn dan COSO. [Loubani, 2008]. 3.6 Risicoagenda bij Provincies De strategische context van de provinciale organisatie is van groot belang om de toepasbaarheid van risicomanagement te kunnen duiden. De strategische invulling van de Provincie verschilt op een aantal onderdelen namelijk wezenlijk van die van private organisaties. Daaruit kan worden afgeleid dat strategievorming in de publieke sector extra complex is. De eigen kenmerken van strategievorming bij de overheid [Ter Braak en Van T Spijker, 1993; Valens, 1993] zijn als volgt: 1. Multi-organisatiestrategie. Een overheid met een breed takenpakket en veel organisatieonderdelen zal vaak geen strategie formuleren in termen van een missie voor één organisatie maar een multi-organisatiestrategie, dus voor meerdere onderdelen die elk eigen taken vervullen, zoals een sociale dienst, of openbare werken. 2. Minder concurrentie. Door de eigenstandigheid van overheden en de beperkte mogelijkheden tot concurrentie is een strategieformuleringsproces minder op scherpe profilering gericht: het generieke krijgt 'veel plaats toegemeten', het specifieke veel minder. Overheden kunnen niet zomaar zeggen dat ze bepaalde taken niet uitvoeren en zich profileren op een bepaalde taak. 3. Functie en soorten produkten en diensten zijn anders. Een ander verschil is dat een bedrijf handelt in een overigens meestal veel beperkter aantal produkten en diensten, maar een overheid heeft eveneens een functie bij de ontwikkeling van maatschappelijke normen en waarden en de handhaving daarvan ten aanzien van de gedragingen van burgers. 4. Meer doelstellingen. Een private organisatie kan zich richten op een beperkt aantal doelstellingen en bij een overheid is dat meestal niet het geval. Een overheidsorganisatie heeft vele taken te vervullen. Bij een private organisatie is de initiële doelstelling vaak nog herkenbaar, bij een overheid ligt dit anders. 5. Vage doelstellingen. In een private organisatie zijn tamelijk precieze doelstellingen te formuleren. Bij een overheid zijn doelstellingen meestal veel vager. Dit laatste wordt ten eerste veroorzaakt door de complexiteit van bepaalde problemen die een overheid 20

31 onmogelijk zelf alleen kan oplossen; denk bijvoorbeeld aan gezondheidszorgvraagstukken. Een tweede oorzaak is de organisatie van de politieke democratie; politieke vertegenwoordigers van verschillende statenfracties dienen vooral compromissen te sluiten om tot een meerderheidsbesluit te komen. Een derde oorzaak is gelegen in de organisatie van het openbaar bestuur zelf, waarbij wetgeving van uitvoering gescheiden is. 6. Openbaarheid. De besluitvorming in een private organisatie voltrekt zich doorgaans niet in de openbaarheid (hoewel er veelal jaarcijfers gepubliceerd worden) terwijl dat bij een overheid doorgaans wel het geval is. 7. Pluriforme samenleving. In private organisaties is minder dan in de overheidssfeer sprake van de noodzaak om rekening te houden met pluriformiteit in de samenleving, zowel qua (doel)groepen van burgers als qua organisaties, die op de een of andere wijze bij beleid betrokken zijn. Ze hebben voorkeuren en kunnen mee- en tegenwerken. In het openbaar bestuur is bovendien sprake van een enorme variëteit aan doelgroepen, belangengroepen en andere betrokkenen. Ook dit compliceert de strategievorming bij de overheid. 8. Politieke cyclus. Een laatste argument is dat in de overheidssfeer sprake is van een politieke cyclus, de periode tussen verkiezingen, van vier jaar of korter. Daardoor bestaat er druk om voorrang te geven aan beleid dat al op korte termijn zichtbaar is of vruchten afwerpt, boven het ontwikkelen van een lange termijnvisie en het 'oogsten' later dan na vier jaar. Bij private organisaties is die cyclus afwezig. Scholes en Johnson [2004] spreken van emergent strategieën, die ontstaan vanuit dagelijkse routines, activiteiten en processen in een organisatie. De auteurs zetten dit af tegen intended strategieën, een uiting van een gewenste strategische koers, nadrukkelijk geformuleerd en uitgedragen door het management van een organisatie. Bij Provincies is sprake van emergent strategievorming, omdat sprake is van veelal decentraal verlopende processen. Vanuit de verschillende beleidsvelden (bv. Ruimtelijke Ordening of Economie) wordt veelal specifieke strategie ontwikkeld, zodat ruimte is voor het inspelen op kansen die zich voordoen. Herman (2004) benoemt dat, ondanks dat risicomanagement voor non-profitorganisaties veelal intuïtief plaats vindt, de noodzaak voor een gestructureerde aanpak wenselijk is. De externe omgeving van de Provincie is complex en turbulent. De toekomst van de Provincie als bestuurslaag staat daarnaast ook nog ter discussie. Anticiperend op die onzekerheid, zal vooral aandacht voor een effectieve strategische aanpak van de maatschappelijke vraagstukken, zoals ze door de provinciale partners en klanten naar voren worden gebracht, het bewijs voor de toegevoegde waarde van de Provincie moeten 21

32 leveren. Resultaat en rekenschap over de prestatie van de Provincie is daarbij van groot belang. Risicomanagement als instrument om te prioriteren en als sturingsmiddel om mensen en processen te richten op het bereiken van de (coalitie)doelstellingen wordt daarmee steeds belangrijker. De opkomst van de risicoagenda bij Provincies wordt ingegeven door vijf ontwikkelingen; 1. Economische crisis De actualiteit van de economische crisis toont de kwetsbaarheid aan van (regionale) overheden. De kredietcrisis heeft drie Provincies getroffen; Noord-Holland, Groningen en Zeeland en toont aan dat niet alleen in de financiële wereld sprake is van een toenemende behoefte aan een adequaat functionerend risicomanagement. In de loop van 2008 bleek dat gemeentelijke en provinciale overheden vele miljoenen euro's hebben uitstaan bij IJslandse banken. Bron: (17/10/8) De Provincie Noord-Holland had 98 miljoen staan op noodlijdende banken (Landsbanki in IJsland en het Duitse Lehman Bankhaus). Een provinciale onderzoekscommissie heeft onderzoek gedaan naar het door Gedeputeerde Staten vanaf 1 april 2007 gevoerde bestuur aangaande het uitzetten van tijdelijk beschikbare financiële middelen. In haar rapport Triple R; Regels, rendement en Risico 2 kwam de commissie onder meer tot de conclusie dat de Provincie ten onrechte geen actief risicomanagement voerde. Als gevolg van de uitkomsten van dit onderzoek is het voltallige college van gedeputeerde staten in Noord-Holland in juni 2009 afgetreden. Hoewel de kredietcrisis kan worden beschouwd als een uitzonderlijke ontwikkeling (Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, 2008), zijn als gevolg hiervan 2 Triple R, regels, Rendement en Risico, provinciale onderzoekscommissie Noord-Holland, 29 mei