nota Strategisch risicomanagement

Transcriptie

1 nota Strategisch risicomanagement DEFINITIEF Novemer 2010 te/kd

2 Novemer 2010 Colofon Uitgave Gemeente Eindhoven Datum Novemer

3 Novemer 2010 Inhoudsopgave Inhoudsopgave...3 Inleiding 4 1 Risicomanagement Inleiding Definities Doelstellingen risicomanagement Wat levert risicomanagement op? Randvoorwaarden risicomanagement 8 2 Risicomanagement aanpak Risicomanagement proces Gemeenterede aanpak Verantwoordelijkheids- en evoegdheidsverdeling Actueel houden van het risicoprofiel Risicomanagement in relatie tot het weerstandsvermogen Risicomanagement in relatie tot het verijzonderde interne controleplan, 213aonderzoeken en juridische zaken 15 3 Ontwikkelpad Korte termijn ( ) Lange termijn ( ) 18 Bijlage 1 Bepalen impact en waarschijnlijkheid van het risico

4 Novemer 2010 Inleiding Binnen de private en pulieke sector is sprake van toenemende aandacht voor de eheersing van risico s. Hiervoor is een aantal oorzaken aan te wijzen, zoals rampen die heen plaatsgevonden, kostenoverschrijdingen van grote projecten en een reeks van schandalen. Een andere ontwikkeling is dat van organisaties wordt geëist dat zij hun doelstellingen expliciet maken én realiseren, terwijl ze daarij in toenemende mate met onzekerheden te maken krijgen. Om die reden is er ehoefte aan een raamwerk, waarinnen risico s kunnen worden geïdentificeerd, eoordeeld en eheerst. Risicomanagement is geen volledig nieuw egrip innen de gemeente Eindhoven. Ook nu wordt op een aantal plekken innen de organisatie al dan niet impliciet of expliciet risico s geïdentificeerd en eheerst. Dit vindt alleen niet plaats vanuit een uniform kader. Hier estaat ook innen de gemeente Eindhoven ehoefte aan het op een gestructureerde manier omgaan met risico s. Risicomanagement is één van de tools om in control te komen. De verantwoordelijkheid hiervoor ligt ij het management, de ondersteuning ij de controller. Risicomanagement is een uitengewoon nuttig instrument dat ingezet kan worden om risico s efficiënter en effectiever te eheersen en organisatiedoelstellingen te realiseren. Onewust geeurt er al veel op dit terrein innen de gemeente Eindhoven. Het expliciet op de kaart zetten van risicomanagement draagt ij aan het risicoewustzijn van het management en geeft managers meer mogelijkheden proactief te sturen op risico s. In het eerste hoofdstuk van deze notitie wordt eschreven, op welke wijze risicomanagement ingericht wordt innen de gemeente Eindhoven. Gestart wordt met het theoretisch kader. Wat houdt risicomanagement in, wat zijn de doelstellingen en welke randvoorwaarden elangrijk zijn. In hoofdstuk 2 wordt de risicomanagement aanpak van de organisatie eschreven. Hierin wordt eschreven welke rollen en verantwoordelijkheden een ieder heeft en welke plek risicomanagement in de organisatie heeft. Tenslotte wordt in het laatste hoofdstuk een ontwikkelpad gegeven. Beschreven wordt wat we op de korte termijn willen ereiken en wat risicomanagement op de lange termijn zal inhouden voor de organisatie

5 Novemer Risicomanagement 1.1 Inleiding Organisaties willen iets ereiken. Het proces om de eoogde doelstellingen te realiseren is onzeker: er zijn risico s die realisatie van doelstellingen in de weg kunnen staan. Van een professionele organisatie mag worden verwacht dat zij de risico s tijdig onderkent en zo goed mogelijk proeert te eheersen. Geeurtenissen van de laatste jaren laten zien hoe elangrijk het is dat ekend is hoe de gemeente er voor staat wat etreft risico s. Er zijn veel vooreelden van gemeenten die geconfronteerd werden met onvoorziene risico s met grote financiële consequenties. Een in het oog springend vooreeld is de Noord-Zuidlijn in Amsterdam. Dergelijke grote projecten en hiermee samenhangende risico s kunnen een aanzienlijk effect heen op de financiële eleidsvrijheid van de gemeente maar ook op het imago en de inrichting van de (project)organisatie. Reden te meer om als gemeente Eindhoven hieraan invulling te geven. Het doel van deze nota is hier concrete invulling aan te geven. Hieronder wordt allereerst een aantal egrippen gedefinieerd waarna het raamwerk voor risicomanagement innen de gemeente Eindhoven wordt geschetst. 1.2 Definities Risicomanagement is het continue proces van risico s identificeren en kwantificeren, het ontwikkelen van optimale maatregelen om risico s te eheersen, (het toezien op) de naleving van de getroffen maatregelen en het regelmatig actualiseren van risico s en de ijehorende risicoeheersing. Risicomanagement is niet koste wat kost risico s vermijden, soms is het ewust accepteren van een risico de meest optimale eheersingmaatregel. Risicomanagement verschaft, wanneer goed uitgevoerd, een organisatie de mogelijkheid optimaal om te gaan met onzekerheden en dus ook de mogelijkheid om de voordelen te enutten die onzekerheden soms ieden. Risicomanagement wordt cyclisch ingezet voorafgaand aan en tijdens de processen die worden uitgevoerd om doelstellingen te realiseren. Beheersmaatregelen zijn activiteiten die de kans op het optreden van risico s dan wel de gevolgen van risico s eïnvloeden. Een risico is het gevaar van schade of verlies als gevolg van interne of externe omstandigheden. Het volgende is hierij elangrijk: - 5 -

6 Novemer 2010 nagenoeg elke activiteit kent risico s. Het is praktisch ondoenlijk met alle risico s rekening te houden. de andreedtes van risico s zijn vaak groot: sommige geeurtenissen kunnen extreem grote schade veroorzaken terwijl de kans op vóórkomen uiterst gering is (het omgekeerde komt overigens ook voor). risico s lijven vaak onewust uiten eeld, terwijl zij de eoogde gang van zaken elemmeren. Risico s vragen om expliciete aandacht. Risico s kunnen op verschillende manieren van elkaar worden onderscheiden. Denk hierij ijvooreeld aan een verdeling in interne, externe en politieke risico s. Bij interne risico s gaat het onder andere om: mogelijke schade door verkeerde inzet van productiemiddelen, als gevolg van areidsconflicten, niet onderkende integriteitrisico s, reorganisaties, niet onderkende financieringsrisico s en garantstellingen, onjuist verlopen aanestedingen, hogere inkoopprijzen dan verwacht, wegvallen inkomstenronnen (ijvooreeld externe financiers), enzovoort; schade ontstaan ij productieprocessen als gevolg van technische prolemen ij het produceren, gerekkige kwaliteit van de producten en prolemen in edrijfsvoeringprocessen, zoals automatisering; schade door onjuist estuurlijk handelen, ijvooreeld als gevolg van claims vanwege gemeentelijke regelgeving (ijvooreeld elastingregels of susidieregels), enzovoort; risico s ten aanzien van het onjuist of niet toepassen van de wet- en regelgeving (rechtmatigheid). Naast deze interne risico s loopt de gemeente externe risico s, zoals: conjunctuurschommelingen veroorzaken onzekerheden zowel met etrekking tot inkomsten (onroerende zaakelasting, toeristenelasting, gemeentefonds) als uitgaven (ijstandsuitkeringen, e.d.). Het risico is dus dat de conjunctuur lager zal zijn dan verwacht, denk hierij ijvooreeld aan de kredietcrisis; exogene maatschappelijke ontwikkelingen en regelgeving van hogere overheden vormen risico s, want kunnen leiden tot extra kosten voor de gemeente. Tot slot zijn er de eleidsmatige of politieke risico s: imagoschade veroorzaakt door het handelen van estuurders, omdat voor het resultaat van dat handelen onvoldoende maatschappelijk draagvlak lijkt te estaan. Denk hierij ook aan risico s welke ontstaan ij het aftreden van het college of een politieke crisis

7 Novemer Doelstellingen risicomanagement Met het implementeren van risicomanagement wordt een aantal zaken eoogd: Inzicht krijgen in de strategische risico s die de gemeente Eindhoven loopt en daarmee het risicoewustzijn te stimuleren. Dit doel is gericht op het in kaart rengen van de risico s van de gemeente Eindhoven. Er moet meer inzicht komen in mogelijke geeurtenissen die negatieve gevolgen voor de gemeente met zich meerengen. Het gaat hierij niet alleen om risico s met financiële gevolgen maar ook om inzicht in niet-financiële gevolgen (ijvooreeld op politiek, imago of veiligheidsvlak). Inzicht in de risico s die de gemeente loopt, egint ij het risicoewustzijn van de medewerkers in de organisatie. Als zij risicoewust zijn in hun dagelijkse werkzaamheden kan proactief worden ingespeeld op de risico s door het op tijd nemen van passende eheersmaatregelen. Onderouwing erekening weerstandsvermogen Deze doelstelling richt zich op de wettelijke verplichting die voortvloeit uit de BBV. De gemeente dient een inventarisatie van de risico s en de eschikare weerstandscapaciteit te maken en ovendien eleid omtrent de weerstandscapaciteit en de risico s te voeren. Vermindering van het negatieve effect van risico s op het estaande eleid en de kwaliteit van de estaande voorzieningen. Om dit doel te ereiken is eerst inzicht in de risico s noodzakelijk. Deze doelstelling hangt zodoende nauw samen met ovenstaande doelstelling. Pas als er inzicht is in de risico s kunnen deze ook eheerst worden zodat ze zo weinig mogelijk effect heen op de uitvoering van het estaande eleid en voorzieningen. Optimaliseren van interne eheersing als onderdeel van integraal management Het managen en eheersen van risico s maakt deel uit van het integrale management. Risicomanagement is één van de instrumenten die hiervoor eschikaar is. Risicomanagement kan een ijdrage leveren aan: - Het stellen van prioriteiten Door het uitvoeren van een risicoanalyse ontstaat inzicht in de elangrijkste, meest risicovolle onderwerpen. Hierdoor kunnen vragen worden eantwoord als: aan welke onderdelen moet meer aandacht esteed worden? - Het ondersteunen van een eslissing Het uitvoeren van een risicoanalyse kan helpen om te komen tot de keuze voor ijvooreeld een alternatief, een epaalde contractvorm of een strategie. - Het kwantitatief onderouwen van de marges in een raming, planning of usinesscase In dit geval wordt een risicoanalyse geruikt om de haalaarheid van de planning, de raming of usinesscase aan te tonen

8 Novemer Wat levert risicomanagement op? Risicomanagement draagt ij aan het vergroten van risicoewustzijn van de organisatie. Het draagt ij aan het reduceren van risico s waaraan de organisatie lootstaat en daarmee aan de vermindering van de hoeveelheid middelen die nodig is om de gevolgen van risico s af te dekken; Risicomanagement iedt inzicht en overzicht in de risico s van de organisatie (en de projecten). Het leidt tot een keuze voor eheersmaatregelen die de sturing en eheersing van de organisatie en van de projecten versterkt; Concrete vereterplannen voor sectoren of onderdelen hiervan of voor het halen van projectdoelstellingen. Risicomanagement draagt ij aan het realiseren van de doelstellingen. Een elangrijk onderdeel van risicomanagement is het weerstandsvermogen. Door risico s in kaart te rengen innen de gemeente en maatregelen te treffen ter eheersing van deze risico s kan het noodzakelijke weerstandsvermogen nauwkeuriger worden epaald. Risicomanagement iedt informatie die de esluitvorming op zowel estuurlijk als amtelijk niveau ondersteunt. Risico s kunnen hierdoor explicieter worden meegewogen in de esluitvorming ijvooreeld over nieuwe projecten of eleidsontwikkelingen. 1.5 Randvoorwaarden risicomanagement Om risicomanagement succesvol te laten worden innen de gemeente Eindhoven is het elangrijk dat aan onderstaande randvoorwaarden wordt voldaan. Één van de elangrijkste voorwaarden om risicomanagement succesvol innen de organisatie te ontwikkelen is commitment van de Directieraad; Risicomanagement moet zoveel mogelijk aansluiten ij de estaande werkwijze innen de organisatie. Dit etekent in eerste instantie dat de risico s expliciet aan de orde moeten komen innen de estaande organisatie- en rapportagestructuur; Risicomanagement volgt de zeggenschap. Dit etekent dat de verantwoordelijkheid voor een risico daar ligt waar ook de verantwoordelijkheid ligt van het werk waar het risico etrekking op kan heen. Met andere woorden, iedereen is verantwoordelijk voor het signaleren en treffen van maatregelen voor de risico s die innen de eigen verantwoordelijkheid vallen. De uiteindelijke eindverantwoordelijkheid voor risico s ligt ij het management; Essentieel is dat er ereidheid is om open over risico s te communiceren. Die ereidheid moet er zijn op alle niveaus waarop gesproken wordt over eventuele risico s. Een louter op afrekenen gerichte cultuur zou van negatieve invloed kunnen zijn op een goed functionerend risicomanagement, vooral omdat tijdigheid hierij van groot elang is. En dan gaat het niet alleen om tijdige kennis van risico s en de genomen maatregelen, maar ook tijdige kennis, op alle amtelijke en estuurlijke niveaus, in het geval een risico zich manifesteert en de eheersmaatregelen niet afdoende lijken te zijn - 8 -

9 Novemer Risicomanagement aanpak Naar aanleiding van een eerste startnotitie is in de eerste helft van 2010 een pilot uitgevoerd op het geied van risicomanagement. Deze pilot is uitgevoerd ij de sector Grond en Vastgoed en ij het gemeenterede inkoop- en aanestedingsproces. De pilot heeft geresulteerd in een gemeenterede aanpak voor strategisch risicomanagement. Deze aanpak is geaseerd op de in de startnotitie 1 eschreven COSO-methodiek en wordt in dit hoofdstuk eschreven. De aanpak is toepasaar op sector- proces en projectniveau. 2.1 Risicomanagement proces Uitvoering risicoanalyse Voor de risicoanalyse zijn verschillende methodes eschikaar, die echter vijf generieke stappen met elkaar gemeen heen. Onderstaand worden deze stappen kort toegelicht. Risico s identificeren Het op gestructureerde wijze identificeren van mogelijke toekomstige geeurtenissen die van invloed zijn op het ehalen van de doelstellingen, het duidelijk formuleren van deze geeurtenissen in de vorm van risico s en het vaststellen van de oorzaken van deze risico s. Risico s eoordelen Het eoordelen van de waarschijnlijkheid en de impact van risico s vóór en na eheersing. (zie ijlage 1) Beheersmaatregelen in kaart rengen Selecteren en implementeren van gewenste reactie op geïdentificeerde risico s. Er is een viertal generieke reacties mogelijk: vermijden, overdragen, eheersen of accepteren. Voor het eoordelen van de risico s na eheersing dient de effectiviteit van de eheersmaatregelen te worden eoordeeld. Deze eoordeling van de eheersmaatregelen vormt aldus een onlosmakelijk onderdeel van de risicoanalyse. Risico s eheersen Het in continuïteit ewaken van de risico s en de achterliggende oorzaken en het oserveren van mogelijke veranderingen daarin, met inegrip van de werking van de eheersmaatregelen. Rapporteren en monitoren Het rapporteren over de oorzaak, aard en omvang van risico s, de effectiviteit van de eheersmaatregelen en veranderingen daarin. De rapportage geeurt zowel innen vaste vooraf epaalde structuren (richting, tijd, format) als op ad-hoc asis op de wijze en in de vorm zoals op dat moment nodig geacht. 1 Startnotitie risicomanagement juli

10 Novemer 2010 Het risicoprofiel wordt vervolgens regelmatig geëvalueerd, ook wordt het effect van de genomen eheersmaatregelen gemeten en geëvalueerd. In de figuur hieronder is dit proces schematisch weergegeven. 2.2 Gemeenterede aanpak De eerste 4 stappen van oveneschreven risicoanalyse worden per sector doorlopen tijdens twee workshops van 2 uur. Tijdens de eerste workshop worden door sleutelfiguren uit de sector, het proces of een project (6 tot 10 mensen) de elangrijkste risico s geïdentificeerd en eoordeeld (stap 1 en 2). Tijdens de tweede workshop worden de eheersmaatregelen gedefinieerd voor die risico s die als hoog zijn geclassificeerd (stap 3 en4). Het resultaat van de twee workshops is een strategisch risicodocument op sectorniveau. De workshops worden gefaciliteerd door de afdeling Internal Control van de sector Control. Aan de 5 e stap het monitoren en rapporteren over de risico s worden aan het eind van de tweede workshop afspraken gemaakt. Dit kan ijvooreeld door de resultaten van de workshops op te nemen in de sector, afdelings- of projectplannen. Daarnaast wordt de status van de eheersmaatregelen periodiek esproken in het overleg tussen sectorhoofd/projectleider en directieraad, afdelingshoofd/projectleider en sectorhoofd en in het periodieke overleg tussen de gedeconcentreerde adviseur van Control en het sectorhoofd

11 Novemer 2010 Ten minste één maal per jaar zal door de etrokkenen worden nagegaan of de risico s zoals op genomen in het strategisch risicodocument nog actueel zijn en of er nieuwe risico s zijn. Dit vindt plaats tijdens een workshop die wordt gefaciliteerd door de afdeling Internal Control van de Sector Control. 2.3 Verantwoordelijkheids- en evoegdheidsverdeling Net als de verantwoordelijkheid voor de gemeentelijke edrijfsvoering valt ook risicomanagement onder de integrale verantwoordelijkheid van het College. Het College van B&W is uiteindelijk verantwoordelijk voor alle gemeentelijke doelstellingen en de risico s die hiermee gepaard gaan en de ijehorende acties die worden ondernomen om deze te eheersen. Risicomanagement is een vorm van integraal management wat inhoudt dat de lijn verantwoordelijk is voor de realisatie van de doelstellingen en de risico s die hiermee samenhangen. Voor de gemeente Eindhoven komt dat er op neer dat de sectoren verantwoordelijk zijn voor die risico s die innen de sector gelopen worden. Dit werkt door tot op afdelings- en projectniveau. Dit is een logische enadering gezien het feit dat de risico s zich veelal functioneel, taakafhankelijk op afdelingsniveau uiten. Op dit niveau zijn de risico s dan vaak ook eerder inzichtelijk te maken, en op dit niveau dienen ook de maatregelen geïmplementeerd te worden. Gemeenteraad De gemeenteraad stelt de kaders en het college voert het eleid uit innen de gestelde kaders. De gemeenteraad controleert vervolgens in hoeverre de uitvoering van het eleid door het college innen de vastgestelde kaders heeft plaatsgevonden en of hierin voldoende rekening is gehouden met de aanwezige risico s. Op het geied van risicomanagement zijn de volgende kaders van elang: de paragraaf weerstandsvermogen en de risicoparagraaf in de jaarrekening en de risicoijlage in de programmaegroting. In het eleid kunnen gemeenteraad en college overeenkomen welke informatie de raad wanneer en op welke wijze wil heen. Zo kan worden vastgelegd welke tussentijdse mutaties, inhoudelijk en financieel, op de plannen aan de gemeenteraad worden voorgelegd. Het College van Burgemeester en Wethouders Het College is uiteindelijk eindverantwoordelijk voor de edrijfsvoering van de gemeente Eindhoven en daarmee voor al haar eleid en ijkomende risico s. Jaarlijks wordt de weerstandsparagraaf in de egroting opgesteld (zie 2.5). Daarnaast dient het College ervoor te zorgen dat de doelstellingen van risicomanagement worden ereikt. Het College dient ij elk voorstel na te gaan wat de elangrijkste risico s zijn en dit te rapporteren aan de Raad zodat zij op de hoogte is van de risico s die het realiseren van

12 Novemer 2010 de eleidsdoelstellingen in de weg kunnen staan. Het College heeft op asis van haar actieve informatieplicht de verantwoordelijkheid de Raad hierover te informeren. Directieraad De Directieraad is integraal verantwoordelijk voor het strategische risicomanagement en daarmee voor het gehele risicoprofiel van de gemeente Eindhoven. Vanuit deze verantwoordelijkheid epaalt de Directieraad de prioriteiten en de planning en zorgt zij ervoor dat ewust wordt omgaan met risico s en dat risicomanagement gemeentereed wordt gestimuleerd. Tevens dient de Directieraad te sturen op de meest urgente risico s innen de gemeente en is zij verantwoordelijk voor het realiseren en toepassen van de gedefinieerde eheersmaatregelen. Ieder lid van de Directieraad espreekt met de sectorhoofden en/of projectleiders innen zijn portefeuille periodiek de stand van zaken ten aanzien van het risicoprofiel van de sectoren en projecten. De uitvoering van strategisch risicomanagement wordt georgd via de managementcontracten. Sectorhoofden Het sectorhoofd is eindverantwoordelijk voor alle risico s die innen de afdelingen van de eigen sector estaan. Het sectorhoofd moet zelf tijdig eventuele risico s onderkennen en passende maatregelen nemen. Periodiek espreekt het sectorhoofd de risico s innen de sector met de afdelingshoofden, waarij eoordeeld wordt in hoeverre de eheersmaatregelen toereikend zijn. Daarnaast espreekt het sectorhoofd de risico s ook periodiek met de verantwoordelijke portefeuillehouder in de Directieraad. Het sectorhoofd vult de afdelingsrisico s aan met eventuele afdelingsoverstijgende risico s, die zich innen de sector kunnen manifesteren. Het sectorhoofd dient er verder voor zorg te dragen dat het risicoewustzijn innen de sector wordt gestimuleerd. Het sectorhoofd neemt de elangrijkste risico s en ijehorende eheersmaatregelen (en de acties die leiden tot realisatie van die maatregelen) op in het sectorplan. Afdelingshoofden Het afdelingshoofd is verantwoordelijk voor de risico s die zich voordoen innen de eigen afdeling. De inventarisatie van risico s start ij het afdelingshoofd die de risico s eoordeelt tegen de achtergrond van de actuele ontwikkelingen en inzichten van het komende egrotingsjaar. Het afdelingshoofd kwantificeert de risico s en draagt zorg voor communicatie van de risico s innen de afdeling en richting het sectorhoofd. Periodiek actualiseren de afdelingshoofden hun risico-overzichten ten ehoeve van de verschillende rapportages (ijvooreeld afdelingsplan, egroting, jaarverslag, tussentijdse rapportages). Hierij worden ook passende eheersmaatregelen ontworpen. Het afdelingshoofd is tevens verantwoordelijk voor het toepassen van deze eheersmaatregelen

13 Novemer 2010 Projectmanager De projectmanager is verantwoordelijk voor alle risico s die zich innen het eigen project voordoen. De projectleider moet zelf tijdig eventuele risico s onderkennen en passende maatregelen nemen. Periodiek espreekt de projectleider de risico s innen het projectteam met de deelprojectleiders, waarij wordt eoordeeld in hoeverre de eheersmaatregelen toereikend zijn. Daarnaast espreekt de projectleider de risico s ook periodiek met het sectorhoofd en/of de verantwoordelijke portefeuillehouder in de Directieraad. Voor projecten dient de risicorapportage aan te sluiten ij de elangrijke mijlpalen en eslismomenten van het project. Risicomanagementcoördinator Risicomanagement is vanuit de gedachte van integraal management een zaak van het management van de verschillende onderdelen van de organisatie. De regie op het geied van risicomanagement ligt ij de concerncontroller. Om risicomanagement effectief te implementeren is een risicomanagementcoördinator aanwezig die toeziet op de gemaakte afspraken en die de sectoren en projecten ondersteunt ij hun taken op een voor hen nieuw vakgeied. De taak van risicomanagementcoördinator is ij de sector Control innen de afdeling Internal Control/Stadspleinen ondergeracht. De taken van de risicomanagementcoördinator zijn: Het faciliteren van de organisatie om op uniforme wijze risico s te identificeren en te eoordelen. Periodiek samenvoegen van de risico s van alle sectoren en projecten tot een gemeentereed strategisch risicodocument. Fungeren als centraal aanspreekpunt in de organisatie op het geied van Risicomanagement. Tevens tracht de coördinator het risicoewustzijn in de organisatie te verhogen. Constateren of in de organisatie risicomanagement naar ehoren verloopt, helpen de mogelijke prolemen op te lossen en/of deze prolemen aan de orde te stellen. 2.4 Actueel houden van het risicoprofiel Op estuursniveau moeten relevante risico s ook worden meegenomen in de afwegingen. In &w- en raadsvoorstellen moet daarvoor, waar dat van toepassing is, aandacht esteed worden aan de risico s van het voorstel. In de dossiertoetsing door de gedeconcentreerde adviseur van de sector Control dient hier ook aandacht voor te zijn. Met name in de paragraaf kanttekeningen moet aandacht esteed worden aan de risico s van het etreffende dossier. Bij het epalen van de risico s van het voorstel moeten steeds drie stappen worden doorlopen: identificatie van risico s

14 Novemer 2010 analyse en eoordeling van risico s eheersing van risico s In het dossier worden de uitkomsten gerapporteerd, zodanig dat het college en de raad zich een oordeel kunnen vormen over de risico s en de voorgestelde wijze van afdoening of eheersing. Indien ovenstaande afweging hier aanleiding toe is, dient het risicoprofiel van de sector hierop aangepast te worden. 2.5 Risicomanagement in relatie tot het weerstandsvermogen Risicomanagement en weerstandsvermogen zijn nauw met elkaar veronden. Het weerstandsvermogen staat in artikel 11 van de BBV als volgt gedefinieerd: 1. Het weerstandsvermogen estaat uit de relatie tussen: a. de weerstandscapaciteit, zijnde de middelen en mogelijkheden waarover de provincie onderscheidenlijk gemeente eschikt of kan eschikken om niet egrote kosten te dekken;. alle risico's waarvoor geen maatregelen zijn getroffen en die van materiële etekenis kunnen zijn in relatie tot de financiële positie. 2. De paragraaf etreffende het weerstandsvermogen evat ten minste: a. een inventarisatie van de weerstandscapaciteit;. een inventarisatie van de risico's; c. het eleid omtrent de weerstandscapaciteit en de risico's. De hoogte van het weerstandsvermogen is daarmee het sluitstuk van het risicomanagementproces. Het is immers de uffer voor niet voorziene financiële risico s. Het erekenen van het weerstandsvermogen is een complexe, technische aangelegenheid, waarij niet alle risico s die zijn geïdentificeerd kunnen en hoeven te worden gekwantificeerd. Tot nu toe geruikt Eindhoven ij de epaling van het weerstandsvermogen geen model maar wordt elk jaar aan de hand van de risicoparagraaf de ontwikkeling van het weerstandsvermogen epaald. Op termijn is het uiteraard de edoeling dat de koppeling tussen de resultaten van het risicomanagementproces en het weerstandsvermogen worden gelegd. Daarvoor is nodig dat risicomanagement gemeentereed is uitgerold. Als dit het geval zullen de risicoprofielen van alle sectoren leiden tot een gemeentereed risicoprofiel. Dit laatste vormt vervolgens input voor het jaarlijks epalen van het weerstandsvermogen

15 Novemer Risicomanagement in relatie tot het verijzonderde interne controleplan, 213a-onderzoeken en juridische zaken Het risicoprofiel van de gemeente Eindhoven vormt input voor het verijzonderde interne controleplan, dat door de afdeling Internal Control opgezet en eheerd wordt. Via het instrument van verijzonderde interne controle wordt vastgesteld of het management ook daadwerkelijk op (het voorkomen van) risico s stuurt door het toepassen van de afgesproken eheersmaatregelen. De elangrijkste risico s per sector zullen de elangrijkste controles zijn in de uit te voeren verijzonderde interne controles innen de sector. Binnen de afdeling Internal Control vinden ook de 213a onderzoeken plaats. Deze zijn op twee manieren veronden met risicomanagement. Allereerst kunnen de gesignaleerde risico s aanleiding vormen voor het college om een themaonderzoek in te stellen naar het etreffende eleid, proces of organisatieonderdeel. Ten tweede wordt ij de periodieke doelmatigheidsonderzoeken onderzocht hoe het risicomanagement ij een epaald organisatieonderdeel wordt toegepast. In noodzakelijke gevallen zullen medewerkers van de sector Juridische Zaken worden etrokken ij de workshops risicomanagement om een ijdrage te leveren. Afstemming hierover vindt voorafgaand aan de workshop van elke sector plaats met de sector Juridische Zaken

16 Novemer Ontwikkelpad 3.1 Korte termijn ( ) Voor de korte termijn is het doel ten aanzien van risicomanagement om het strategisch risicomanagement te introduceren innen sectoren en (grote) projecten en/of thema s. Concreet etekent dit voor een aantal sectoren en grote projecten een eerste risicoanalyse uit te voeren en een strategisch risicodocument op te stellen. Dit houdt in dat voor iedere geselecteerde sector of project twee workshops van 2 uur worden gehouden. Bij de workshop zijn de, in overleg met het sectorhoofd of de projectleider epaalde medewerkers (ongeveer 8) aanwezig. Tussen de workshops zit ongeveer 2 weken. Voorafgaand aan de workshop is met iedere deelnemer een vooroverleg geweest van een halfuur waarin kort is aangegeven wat het doel is van de workshop en de aanpak. Eerste workshop Tijdens de eerste workshop worden de eerste twee stappen van het risicomanagement proces doorlopen: het identificeren van de risico s en het classificeren van de risico s. De resultaten van de eerste ijeenkomst zijn vervolgens door de medewerkers van Control verwerkt in een verslag. Tweede workshop Tijdens de tweede workshop wordt voor de risico s die een hoge impact en een hoge kans heen nagedacht over mogelijke eheersmaatregelen. Bij het epalen van de eheersmaatregelen is rekening gehouden met enerzijds de mate waarin de sector of de proceseigenaar zelf in staat is invloed uit te oefenen op de eheersmaatregelen en anderzijds de mate waarin de eheersmaatregel ijdraagt aan de vermindering van het risico. Aan het einde van de tweede workshop is ook ekeken wat er met de resultaten van de workshops zal worden gedaan en hoe voorkomen kan worden dat het lijft ij de twee workshops. Het resultaat van de twee workshops is een strategisch risicodocument op sector/projectniveau met daarin voor de toprisico s de ijehorende te treffen maatregelen Voor 2010 zullen in opdracht van de directieraad de volgende grote projecten/thema s worden enaderd voor de workshop risicomanagement: - Huisvesting en digitalisering - Participatieudget Daarnaast zullen onderstaande sectoren worden enaderd voor de workshops: Sector Zorg en Inkomen Sector Projectmanagement Sector Realisatie en Beheer

17 Novemer In 2011 volgen de overige sectoren. De ervaring tijdens de pilots heeft geleerd dat een tijdige inplanning ij de sectoren erg elangrijk is omdat agenda s van etrokkenen erg vol zitten. Daar zal dus extra aandacht voor zijn. De planning zal vooraf worden afgestemd met de directieraad. Eventueel zal ook in 2011 weer een mix gemaakt worden van thema s/projecten en sectoren. Twee thema s/project zijn op dit moment al ekend: het aankoop- en verwervingseleid en het project Strijp S Belangrijk hierij is dat er sprake is van een groeiproces. In eerste instantie is het met name elangrijk om het risicoewustzijn innen de organisatie te vergroten. Nadat de cyclus voor de eerste keer is doorlopen innen een sector/project zullen ij de tweede cyclus naar verwachting de resultaten van de eerste cyclus kwalitatief kunnen worden aangescherpt. Ook zal op dat moment de relatie tussen de gesignaleerde risico s en het noodzakelijke weerstandsvermogen worden gelegd. Op asis van deze strategische risicodocumenten per sector wordt een gemeentereed risicodocument opgesteld. De tijdsesteding per sector/project is als volgt: Medewerker Rol Benodigde tijd gedeconcentreerde medewerker P&C (sector Control) medewerker IC (sector Control) Risicomanagementcoördinator (sector Control) Sectorhoofd/projectmanager Afdelingshoofden (± 4) Beleidsadviseurs (± 4) Deelprojectleiders Projectcontroller Inventariseren strategische risico s o..v. inhoudelijke kennis over de sector Bijwonen workshop Meedenken over risico s o..v accountrol verijzonderde IC Bijwonen workshop Coördineren pilot Voorereiden workshop Bijwonen workshop Toezien op naleving voorgestelde methodiek Uitwerken resultaten workshop Evalueren pilot Bijwonen workshop Accorderen resultaten workshop Evalueren pilot Bijwonen workshop Voorespreken en evalueren pilot 4 uur 4 uur 4 uur 4 uur 8 uur 8 uur 4 uur - 4 uur 8 uur 4 uur 1 uur 1 uur 4 uur 1 uur

18 Novemer Lange termijn ( ) Zoals eschreven in $2.5 is het op termijn de edoeling dat de koppeling tussen de resultaten van het risicomanagementproces en het weerstandsvermogen worden gelegd. Daarvoor is nodig dat risicomanagement gemeentereed is uitgerold. Als dit het geval zullen de risicoprofielen van alle sectoren leiden tot een gemeentereed risicoprofiel. Dit laatste vormt vervolgens input voor het jaarlijks gemeentereed epalen van het weerstandsvermogen. In de toekomst zal ook in &w- en raadsvoorstellen aandacht moeten zijn voor ijehorende risico s

19 Novemer 2010 Bijlage 1 Bepalen impact en waarschijnlijkheid van het risico Omvang van het risico (impact) Voor het epalen van de omvang van het risico gaan we uit van een situatie dat het risico zich daadwerkelijk voordoet. Voor het inschatten van de omvang van het risico wordt de methode van intersujectiviteit gehanteerd. Dit houdt in dat de keuze van de waarde wordt geaseerd op consensus innen een groep medewerkers die goed op de hoogte is van het organisatieonderdeel/het project. Voor het epalen van de impact op de doelstellingen wordt de volgende indeling gehanteerd. Klasse Impact Imagoeeld Referentieeeld 1 Zeer klein Enkele personen Geen edreiging voor de doelstellingen 2 Klein Lokale pers Minimale edreiging voor de doelstellingen 3 50/50 Regionale pers Bedreiging voor doelstellingen 4 Groot Landelijke pers Ernstige edreiging voor doelstellingen 5 Zeer groot Internationale pers Zeer ernstige edreiging voor doelstellingen Waarschijnlijkheid dat het risico zich voordoet (kans) Voor het inschatten van de kans op het optreden van een risico wordt de volgende indeling gehanteerd. Klasse Referentieeeld 1 <1x per 10 jaar 2 1 keer per 5-10 jaar 3 1 keer per 2-5 jaar 4 1 keer per 1-2 jaar 5 1 keer per jaar of meer

20 Novemer 2010 Indeling van de risico s Als voor de risico s de verwachte impact en kans zijn epaald levert vermenigvuldiging hiervan de totale omvang van het risico op. Het gaat dus om een score van minimaal 1 en maximaal 25. Hierij geldt hoe donkerder de kleur op de risicokaart, hoe groter de potentiële impact van het risico en hoe hoger de prioriteit om het risico aan te pakken. De risicokaart ziet er als volgt uit: IMPACT KANS Risicoklasse Laag Gemiddeld Urgent