Risicomanagement Gemeente Oegstgeest, Voorschoten en Leiderdorp Rapportage vergelijking uitkomsten audits André van Hofwegen Risicomanagement gemeente Oegstgeest, Leiderdorp en Voorschoten 1 van 18
Inhoudsopgave 1 Inleiding... 3 2 Aanleiding voor het onderzoek... 4 3 Onderzoekskader... 5 3.1 Doelstelling... 5 3.2 Hoofdonderzoeksvraag... 5 3.3 Onderzoeksvragen... 5 3.4 Afbakening... 5 3.5 Normenkader... 6 4 Onderzoeksaanpak... 9 5 Vergelijking van bevindingen... 10 5.1 Risicostrategie...10 5.2 Risicoproces...11 5.3 Risicocultuur...12 5.4 Risicostructuur...13 5.5 Tools en technieken...14 6 Conclusies... 15 Bijlage 1.... 16 Normen en toetsingskader onderzoek risicomanagement:...16 Risicomanagement gemeente Oegstgeest, Leiderdorp en Voorschoten 2 van 18
1 Inleiding De auditteams van de gemeenten Leiderdorp, Voorschoten en Oegstgeest hebben medio april tot en met augustus in opdracht van de respectievelijke Colleges van B&W een doelmatigheidsonderzoek verricht naar risicomanagement binnen de betreffende gemeenten. Deze onderzoeken passen binnen de doelmatigheids- en doeltreffendheidonderzoeken die en sinds enkele jaren worden verricht bij de gemeenten Oegstgeest, Leiderdorp en Voorschoten. Het gemeenschappelijke onderwerp van onderzoek is dit jaar het systeem van risicomanagement. Risico s vormen een vast onderdeel van de programbegroting en worden financieel vertaald in de paragraaf weerstandsvermogen van de begroting. In het gezamenlijke onderzoeksplan van deze drie gemeenten is het onderwerp risicomanagement gekozen vanwege de actualiteit rondom dit begrip en naar aanleiding van gebeurtenissen in andere gemeentes. Risicomanagement gemeente Oegstgeest, Leiderdorp en Voorschoten 3 van 18
2 Aanleiding voor het onderzoek Door de 3 gemeenten is in de afgelopen jaren geïnvesteerd in risicomanagement. De voornaamste reden wordt gevormd door een wettelijk kader maar ook door de toenemende aandacht vanuit de media voor het functioneren van gemeentes. Risicomanagement is een middel om te anticiperen op mogelijke gebeurtenissen die het halen van de doelstellingen van de gemeente negatief beïnvloeden. Zo kunnen risico s zich bijvoorbeeld voordoen als politieke, financiële, juridische risico s of imagoschade. Naast de aandacht vanuit de media is er ook nog de wettelijke verplichting die voorvloeit uit het Besluit begroting en verantwoording provincies en gemeenten (BBV) waarin risicomanagement een verplicht onderdeel is. Risicomanagement gemeente Oegstgeest, Leiderdorp en Voorschoten 4 van 18
3 Onderzoekskader 3.1 Doelstelling Centraal onderwerp voor de gemeenten Leiderdorp, Oegstgeest en Voorschoten is risicomanagement. Dit is een breed begrip, het onderzoek wordt dan ook ingekaderd. Het doel van dit onderzoek is inzicht te krijgen in de mate van doelmatigheid en doeltreffendheid van risicomanagement binnen de gemeente. Het onderzoek is beperkt tot de techniek van het proces en de instrumenten rond risicomanagement. 3.2 Hoofdonderzoeksvraag De hoofdvraag van dit onderzoek is de werking van het systeem van risicomanagement en die als volgt weergegeven: Hoe efficiënt wordt het systeem van risicomanagement binnen de gemeente Oegstgeest toegepast? 3.3 Onderzoeksvragen Binnen het onderzoek wordt een antwoord gegeven op de onderstaande deelvragen: Wat betekent risicomanagement voor de gemeente Oegstgeest? Welke doelen streeft de gemeente na bij risicomanagement? Hoe heeft de gemeente risicomanagement verankerd in de organisatie en haar processen? Levert risicomanagement datgene op wat het zou moeten opleveren in relatie tot het doel? Wat zijn de kosten/tijd van het uitvoeren van risicomanagement in relatie tot wat het oplevert? 3.4 Afbakening In dit onderzoek wordt er in hoofdzaak gekeken naar doelmatigheid en niet naar doeltreffendheid. De doeltreffendheid van risicomanagement is complex om te meten. Het auditteam heeft dit dan ook niet kunnen onderzoeken. Er wordt in dit onderzoek ook niet ingegaan op de inhoudelijke risico s binnen een bepaald proces. Risicomanagement gemeente Oegstgeest, Leiderdorp en Voorschoten 5 van 18
3.5 Normenkader Voor dit onderzoek is gebruik gemaakt van binnen de gemeente beschikbare stukken en algemene theorieën rondom risicomanagement. De verschillen in beschikbare documentatie tussen de gemeenten komen in de resultaten uit het onderzoek naar boven. Als algemene kaders voor goed risicomanagement is de onderstaande literatuur als uitgangspunt genomen. I. COSO-model; II. BBV; III. Model Nederlands Adviesbureau voor Risicomanagement (NAR). Met deze kaders is een normenkader en toetsingskader gecreëerd waarnaast de bevindingen in de gemeenten gelegd konden worden. Het normen en toetsingskader, zoals dat is toegepast is opgenomen in bijlage 1. COSO-Model COSO is een managementmodel dat is ontwikkeld door The Committee of Sponsoring Organizations of the Treadway Commission (COSO). Dit comité, bestaande uit een aantal private organisaties, heeft naar aanleiding van een aantal boekhoudschandalen en fraudegevallen aanbevelingen gedaan en richtlijnen afgegeven ten aanzien van interne beheersing. Het COSO-model is bedoeld om aan organisaties een uniform en gemeenschappelijk referentiekader voor interne beheersing aan te bieden en om het management te ondersteunen bij de verbetering van het interne controlesysteem. Wat houdt COSO in? Als een organisatie haar doelstellingen wil bereiken dan moet ze omgaan met risico s en moet ze deze risico's proberen te beheersen. COSO beschrijft en definieert hiervoor de verschillende elementen van een intern beheersingssysteem: De doelstellingen van een organisatie; De controlecomponenten; De activiteiten/eenheden waarvoor de interne controle benodigd is. Organisatiedoelstellingen COSO identificeert de relaties tussen de ondernemingsrisico s en het interne beheersingsysteem. COSO hanteert hierbij de gedachten dat interne beheersing een proces Risicomanagement gemeente Oegstgeest, Leiderdorp en Voorschoten 6 van 18
is dat gericht is op het verkrijgen van een redelijke mate van zekerheid omtrent het bereiken van doelstellingen in de categorieën: Bereiken van de strategische doelstellingen (Strategic); Effectiviteit en efficiëntie van bedrijfsprocessen (Operations); Betrouwbaarheid van de financiële informatieverzorging (Reporting); Naleving van relevante wet- en regelgeving (Compliance) 1. BBV In Iv3 wordt ingegaan op de begrippen financiële positie, weerstandsvermogen, weerstandscapaciteit en risico s. In het BBV zijn diverse bepalingen (art. 71 t/m 74) opgenomen om de kwaliteitsborging Iv3 te stimuleren. Deze bepalingen zijn nader toegelicht in de circulaire "Uitvoering Iv3". Toezicht speelt een belangrijke rol in de BBV. De toezichthouder zal de financiële positie van de provincie of gemeente beoordelen aan de hand van de stukken van die overheidsorganisatie. Om de sluitendheid van de begroting en de risicofactoren die daarbij van belang zijn beter en sneller te kunnen traceren, zal de toezichthouder ook provincies en gemeenten onderling vergelijken, zowel op het niveau van de functies als op het niveau van de categorieën. Dit vergt gegevens op uniforme basis zoals dat in het BBV is geregeld 2. NAR-model NAR heeft een stappenplan ontwikkeld voor de invoering van risicomanagement. Het stappenplan is bedoeld als richtlijn voor het verder professionaliseren van risicomanagement bij gemeenten. Het stappenplan van NAR omvat de onderstaande stappen: 1. Bepaal wat onder risicomanagement wordt verstaan 2. Geef aan wat de gemeente wil bereiken met risicomanagement; 3. Kies een praktische risicomanagementmethode; 4. Bepaal de wijze van rapportage; 5. Benoem een risicomanager en kwaliteitsbewaker; 6. Maak alle managers/chefs verantwoordelijk voor hun risico s. Door aan te geven in welke mate een gemeente de stappen van de aanpak heeft ingevuld, kan een beeld worden gevormd van de professionaliteit van risicomanagement binnen de 1 Zie ook bijlage V Het COSO-model bij het Plan van aanpak. 2 Zie voor meer informatie: http://www.commissiebbv.nl. Risicomanagement gemeente Oegstgeest, Leiderdorp en Voorschoten 7 van 18
gemeente. Het NAR model is wat minder uitgewerkt dan COSO, maar wellicht daardoor meer praktisch toepasbaar en haalbaar voor gemeenten. De boodschap van beide systemen: risicomanagement beleggen binnen alle lagen van de organisatie en het voorgestelde proces van risicomanagement verschilt niet 3. 3 Zie ook: http://www.risicomanagement.nl/gemeenten/2007/11/20/nar_ontwikkeld_risicomodel_voor_gesubsidieerde_instellingen. Risicomanagement gemeente Oegstgeest, Leiderdorp en Voorschoten 8 van 18
4 Onderzoeksaanpak Binnen de 3 gemeenten heeft het onderzoek op dezelfde wijze plaatsgevonden, namelijk door middel van documentenonderzoek en het afnemen van interviews. Risicomanagement gemeente Oegstgeest, Leiderdorp en Voorschoten 9 van 18
5 Vergelijking van bevindingen Voor de overzichtelijkheid van de audit resultaten zijn deze net als het normenkader en toetsingskader onderverdeeld naar elementen van een risicomanagementsysteem, namelijk: risicostrategie, het risicoproces, de risicocultuur, de risicostructuur en tools en technieken. In dit onderzoek worden de algehele conclusies per element vergeleken. Voor een nadere uitwerking per norm wordt verwezen naar de afzonderlijke auditrapporten. 5.1 Risicostrategie In de onderstaande tabel zijn voor de normen die kunnen gelden voor het beoordelen van de risicostrategie de bevindingen aangegeven. Norm 2 en 3 zijn samengevoegd. 1. Het beleid rondom risicomanagement is vastgelegd. Oegstgeest Leiderdorp Voorschoten Waar de gemeenten Oegstgeest, Leiderdorp en Voorschoten voldoen allen aan de gestelde norm. De vastlegging verschilt wel in die zin dat de gemeente Oegstgeest en Leiderdorp een nota risicomanagement hebben en dat Voorschoten een nota weerstandsvermogen heeft. De nota risicomanagement is bij de laatste gemeente in ontwikkeling. 2. De organisatie heeft gedefinieerd wat onder risico wordt verstaan. 3. De definitie van wat als risico wordt beschouwd is vastgelegd en gecommuniceerd Oegstgeest / Leiderdorp Voorschoten / De gemeenten Oegstgeest en Leiderdorp hebben omschreven welke definitie zij geven aan een risico. De gemeente Voorschoten heeft dit nog niet expliciet benoemd. Indirect wordt hier wel naar verwezen door de definities van het weerstandsvermogen en capaciteit. De auditoren misten bij de definitie zoals genoemd in de nota van de gemeente Oegstgeest dat ook niet-financiële risico worden meegenomen. 4. De uitvoering van risicomanagement vindt plaats binnen alle lagen in de organisatie Oegstgeest Leiderdorp Voorschoten Bij alle gemeenten is aangeven dat de risico s worden geïnventariseerd op het niveau van afdelingshoofden. De verantwoordelijkheden zijn ook belegd bij de afdelingshoofden. Alleen bij de gemeente Oegstgeest wordt ook lager in de organisatie aan risicoinventarisatie gedaan, maar deze verantwoordelijkheden zijn niet geborgd. Alle 3 de gemeenten geven aan dat voor de inventarisatie van risico s het niveau van afdelingshoofden het juiste niveau is. Opvallend is dat de antwoorden op deze vraag vooral gaan om de inventarisatie van risico s. Risicomanagement is echter een breder proces en betreft bijvoorbeeld ook de beheersmaatregelen en monitoring. Uit de onderzoeksresultaten blijkt niet of de medewerkers op alle niveaus met risicomanagement bezig zijn. Risicomanagement gemeente Oegstgeest, Leiderdorp en Voorschoten 10 van 18
5. De risico s worden inzichtelijk gemaakt op verschillende deelgebieden Oegstgeest Leiderdorp Voorschoten De gemeenten Oegstgeest en Voorschoten richten hun risico-inventarisatie vooralsnog alleen op de financiële risico s. Binnen de gemeente Leiderdorp lijkt dit breder ingestoken te zijn. 6. Het systeem van risicomanagement wordt bewaakt Oegstgeest Leiderdorp Voorschoten Bij geen van de gemeenten worden evaluaties uitgevoerd op de werking van het systeem. Er is bij de gemeenten geen zicht op de werking van het systeem van risicomanagement. Er is door één gemeente aangegeven dat deze audit een goede eerste stap kan zijn naar evaluatie van de werking van het systeem. Over het algemeen kan worden gesteld dat de gemeenten aandacht hebben gegeven aan de risicostrategie. Het beleid is geformuleerd en de definitie van wat een risico is, is vastgesteld. Het ontbreekt alle gemeenten aan een tussentijdse evaluatie van het risicomanagement systeem. Het is voor de gemeenten vooralsnog onduidelijk of het gehanteerde systeem voldoet. Wat tot slot opvalt is dat risicomanagement door geïnterviewden veelal wordt teruggebracht naar het inventariseren van de risico s. Dit is echter slecht één stap in het risicomanagement proces (zie 5.2). 5.2 Risicoproces In de onderstaande tabel zijn voor de normen die kunnen gelden voor het beoordelen van het risicoproces de bevindingen aangegeven. 7. De doelstellingen van risicomanagement zijn inzichtelijk gemaakt. Oegstgeest Leiderdorp Voorschoten De gemeenten Oegstgeest en Voorschoten hebben het doel van risicomanagement omschreven in de betreffende nota s. Voor de financiële risico s voldoen zij dan ook aan de norm. De doelstelling is bij de gemeente Voorschoten niet smart geformuleerd. Bij de gemeente Oegstgeest is de wens om na de nota (uit 2005) door te pakken met risicomanagement duidelijk waarneembaar. De gemeente Leiderdorp heeft niet expliciet aangegeven welk doel het heeft met het toepassen van risicomanagement. 8. De gebeurtenissen zijn geïnventariseerd. Oegstgeest Leiderdorp Voorschoten Alle gemeenten voldoen aan deze norm. De kanttekening hierbij is dat de gemeenten Oegstgeest en Voorschoten de niet-financiële risico s niet hebben geïnventariseerd. Risicomanagement gemeente Oegstgeest, Leiderdorp en Voorschoten 11 van 18
9. Er heeft een risicobeoordeling plaatsgevonden. Per risico is een reactie of zijn beheersmaatregelen geformuleerd. Oegstgeest Leiderdorp Voorschoten De gemeenten Oegstgeest en de gemeente Voorschoten voldoen voor de niet-financiële risico s aan de norm. Binnen de gemeente Leiderdorp heeft het auditteam geen andere beheersstrategie geconstateerd dan het accepteren van de risico s en het aanhouden van weerstandsvermogen. Op het gebied van de risico-inventarisatie hebben alle gemeenten een goede score behaald. De doelstellingen zijn niet altijd (smart) geformuleerd. Hierdoor kan de doelgerichtheid van het risicomanagement proces in gevaar komen. Er valt nu niet terug te halen of de activiteiten die in het kader van risicomanagement worden uitgevoerd het doel van risicomanagement dienen. 5.3 Risicocultuur In de onderstaande tabel zijn voor de normen die kunnen gelden voor het beoordelen van de risicocultuur de bevindingen aangegeven. 10. Er wordt binnen de organisatie aandacht besteed aan de opleiding op het gebied van risicomanagement. Oegstgeest Leiderdorp Voorschoten Geen van de gemeenten besteed in haar opleidingsaanbod of eventueel introductie van nieuwe medewerkers aandacht aan risicomanagement. Binnen de drie gemeenten wordt de mening gedeeld dat de afdelingshoofden voldoende kennis van risicomanagement zouden moeten hebben om risicomanagement te kunnen toepassen. Het is onduidelijk of deze aanname gerechtvaardigd is. 11. Binnen de beoordelings- en beloningsstructuur wordt de bijdrage aan risicomanagement meegewogen.. Oegstgeest Leiderdorp? Voorschoten Binnen de gemeenten Oegstgeest en Voorschoten wordt de wijze waarop afdelingshoofden hun risico s afdoende managen niet meegenomen in de beoordelingsen beloningsstructuur. Binnen de gemeente Leiderdorp is geen informatie achterhaald om op deze norm te kunnen beoordelen. Risicomanagement gemeente Oegstgeest, Leiderdorp en Voorschoten 12 van 18
12. Er wordt intern gecommuniceerd over risico s en risicobeheersing. Oegstgeest / Leiderdorp Voorschoten / Binnen de gemeente Leiderdorp worden per kwartaal overzichten verstrekt met daarin de risico s. Hierop volgt een verzoek tot actualisatie van de risico s door de afdelingshoofden. Daarnaast moet bij het formuleren van adviezen aan het college en de gemeenteraad standaard aandacht worden besteed aan de risico s. Binnen de gemeenten Voorschoten en Oegstgeest is geen vaste risico communicatiestructuur. Wel moeten in beide gemeenten de afdelingshoofden jaarlijks bij de begrotingscyclus aangeven of de risico s nog actueel zijn. De risicocultuur is een onderbelicht aspect binnen de gemeenten. In opleidings- en beloningsstructuren en opleidingen wordt weinig aandacht besteed aan risicomanagement. Beide aspecten kunnen bijdragen aan het risicobewustzijn en risicobewust handelen van de medewerkers. Een communicatie over risico s op jaarbasis is zeer beperkt. Het is de vraag welk effect dat heeft op risicobewust handelen. Binnen de gemeente Leiderdorp wordt in ieder geval bij elk raadsvoorstel stilgestaan bij de risico s en de beheersing hierop. 5.4 Risicostructuur In de onderstaande tabel zijn voor de normen die kunnen gelden voor het beoordelen van de risicostructuur de bevindingen aangegeven. 13. De eindverantwoordelijkheden in het risicoproces zijn inzichtelijk gemaakt. Oegstgeest / Leiderdorp Voorschoten / Binnen de gemeente Oegstgeest zijn de verantwoordelijkheden strikt genomen vastgelegd. Dit staat omschreven in de nota. Uit de audit blijken echter onduidelijkheden in de praktische toepassing hiervan. Binnen de gemeente Voorschoten zijn de verantwoordelijkheden wel belegd, maar niet vastgelegd. Binnen de gemeente Leiderdorp zijn de verantwoordelijkheden duidelijk vastgelegd. 14. De rapportagelijnen met betrekking tot risicomanagement zijn inzichtelijk. Oegstgeest / Leiderdorp Voorschoten Binnen de gemeente Voorschoten en Leiderdorp zijn de rapportagelijnen duidelijk vastgelegd. Binnen de gemeente Oegstgeest zijn alleen de risico s in de programmabegroting inzichtelijk. Dit wordt door het auditteam als minmaal beoordeeld. Risicomanagement gemeente Oegstgeest, Leiderdorp en Voorschoten 13 van 18
15. Er worden resources beschikbaar gesteld voor het uitvoeren van risicomanagement.. Oegstgeest? Leiderdorp / Voorschoten / Binnen de gemeente Oegstgeest is niet bekend of er resources beschikbaar zijn gesteld voor het uitvoeren van risicomanagement. Binnen de gemeente Leiderdorp is geld beschikbaar gesteld voor het technisch onderhouden van het technisch systeem (NARIS). De gemeente Voorschoten wordt vooral aangegeven dat voor de beheersmaatregelen geld is gereserveerd. Voor het uitvoeren van risicomanagement zijn binnen geen van de gemeenten uren gereserveerd. De risicostructuur schept de voorwaarden waarbinnen risicomanagement wordt uitgevoerd. De gemeente Leiderdorp voldoet voor het grootste gedeelte aan de gestelde normen. Binnen de andere gemeenten is veel onduidelijkheid over de structuur waarbinnen risicomanagement wordt uitgevoerd. 5.5 Tools en technieken In de onderstaande tabel zijn voor de normen die kunnen gelden voor het beoordelen van de tools en technieken waarmee risicomanagement wordt uitgevoerd de bevindingen aangegeven. 16. Er zijn in de organisatie standaard technieken van risicomanagement (toegepast). Oegstgeest / Leiderdorp Voorschoten / Binnen de gemeente Voorschoten zijn de kaders van risicomanagement vastgelegd in de nota weerstandsvermogen. De specifieke technieken voor het bepalen van beheersmaatregelen is echter niet beschreven. Momenteel wordt hieraan wel gewerkt middels een nota risicomanagement. Binnen de gemeente Leiderdorp ondersteund het systeem Naris de technieken om risicomanagement uit te voeren. Binnen de gemeente Oegstgeest worden de technieken van risicomanagement vooral bepaald door de kennis van de individuele medewerkers. Er zijn centraal geen technieken vastgelegd. Risicomanagement gemeente Oegstgeest, Leiderdorp en Voorschoten 14 van 18
6 Conclusies Voor alle drie de gemeenten geldt dat niet op alle punten aan de norm wordt voldaan. Rest de vraag of afwijken van de gesteld norm ernstig is. Dit is niet per definitie waar. Het normenkader geeft aan hoe een ideaal systeem van risicomanagement volgens de literatuur kan worden ingericht. Er zijn een aantal aspecten die voor alle gemeenten gelden en die opvallen. Ten eerste is dat het feit dat risicomanagement een aangelegenheid is van de afdelingshoofden. Dieper in de organisatie is weinig beleving van risicomanagement. Het is echter aan te bevelen om dieper in de organisatie mensen risicobewust te maken. Zo worden risico bij het handelen afgewogen en worden meer bewust beslissingen genomen over het accepteren, vermijden, delen of verzekeren als reactie op een mogelijk risico. Een opleiding of instructie in risicomanagement zou in het kader van bovenstaande niet misstaan. Hier wordt door geen enkele gemeente echter aandacht aan besteed. Van belang is wel om op te merken dat alle gemeenten conform de wet- en regelgeving handelen. Die benadrukt namelijk dat eens per jaar de risico s worden geïnventariseerd en gekwantificeerd ten behoeve van het weerstandsvermogen. Jammer is wel dat de mogelijkheden die deze inventarisatie biedt om verder in control te komen niet optimaal worden gebruikt. Bewuste keuzes in risicobeheersing zijn niet altijd inzichtelijk. Voor de aanbevelingen naar aanleiding van deze audit wordt verwezen naar de betreffende auditrapportages per gemeente. Risicomanagement gemeente Oegstgeest, Leiderdorp en Voorschoten 15 van 18
Bijlage 1. Normen en toetsingskader onderzoek risicomanagement: Risicomanagement gemeente Oegstgeest, Leiderdorp en Voorschoten 16 van 18
Normenkader risicomanagement Algemene eisen aan integraal risicomanagement: Ondervangen/aanvullend in BBV: Eisen vanuit de nota risicomanagement: Voorbeeldvragen Vindplaats (voorbeeld) Soort onderzoek ELEMENTEN VAN EEN RISICOMANAGEMENTSYSTEEM Risicostrategie (interne omgeving) Het beleid rondom risicomanagement is vastgelegd Toelichting: Er is een vastgelegd stuk waarin staat hoe risicomanagement binnen de Ondervangen: 1 Welke doelstellingen heeft de organisatie met Beleidsnotitie Documentstudie organisatie is ingericht. (nog ongeacht de juistheid en volledigheid van de inhoud Het beleid rondom weerstandscapaciteit en risico's is risicomanagement? van een dergelijk stuk) vastgelegd. De organisatie heeft gedefinieerd wat onder een risico wordt verstaan Toelichting: De definitie van wat als een risico wordt beschouwd is vastgelegd en Beleidsnotitie Documentstudie gecommuniceerd. De reikwijdte die de organisatie heeft met betrekking tot risicomanagement is inzichtelijk gemaakt Toelichting: De organisatie heeft inzichtelijk gemaakt voor welke programma's/afdelingen het Beleidsnotitie Documentstudie van belang is om aan risicomanagement te doen. De organisatie heeft de risicoacceptatiegraad inzichtelijk gemaakt Toelichting: De wijze waarop risico's (mogen) worden genomen en behandeld is vastgelegd. Beleidsnotitie Documentstudie Risicomanagement wordt uitgevoerd binnen alle lagen van de organisatie Toelichting: Risicomanagement wordt uitgevoerd binnen alle lagen van de organisatie. Van bestuur en management tot en met de medewerker. De risico's worden inzichtelijk gemaakt op verschillende gebieden. Toelichting: Vanuit COSO worden doelstellingen en risico's bijvoorbeeld geïnventariseerd op: - Strategie: betreft globale doelen en is afgestemd op de missie - Operationeel: betreft effectief en efficiënt gebruik van middelen - Rapportage: betreft de betrouwbaarheid van de verslaggeving - Toezicht: betreft de naleving van wet- en regelgeving 1 Op welke deelgebieden worden de risico's binnen de organisatie geïnventariseerd? Beleidsnotitie Beleidsnotitie Tools van RM Documentstudie Documentstudie Interview Het systeem van risicomanagement wordt bewaakt Toelichting: De totale systeem van risicomanagement wordt bewaakt en wijzigingen worden waar nodig aangebracht. Hier kunnen bijvoorbeeld evaluaties van het systeem onder vallen. Risicoproces De doelstellingen zijn inzichtelijk gemaakt Toelichting: Risico's zijn bij goed risicomanagement altijd gerelateerd aan de doelstelling van een organisatie. Daarom is het van belang dat de doelstellingen per proces/afdeling zijn geformuleerd. Vanuit COSO worden doelstellingen en risico's bijvoorbeeld geïnventariseerd op: - Strategie: betreft globale doelen en is afgestemd op de missie - Operationeel: betreft effectief en efficiënt gebruik van middelen - Rapportage: betreft de betrouwbaarheid van de verslaggeving - Toezicht: betreft de naleving van wet- en regelgeving De gebeurtenissen zijn geïnventariseerd Toelichting: Interne en externe gebeurtenissen die van invloed kunnen zijn op het behalen van de doelstellingen zijn geïdentificeerd. Er kan hierbij onderscheid worden gemaakt tussen risico's en kansen. Er heeft een risicobeoordeling plaatsgevonden Toelichting: De risico's worden geanalyseerd, rekening houdend mey waarschijnlijkheid en impact. Dit vormt de basis voor de keuze hoe risico's moeten worden beheerst. De inherente en restrisico's worden ingeschat. Inherente risico's zijn de risico's die bestaan zonder dat rekening wordt gehouden met beheersmaatregelen. Restrisico's zijn risico's die resteren nadat het effect van de beheersmaatregelen is meegenomen in de beoordeling van de risico's. Ondervangen: - Er heeft een inventarisatie van de risico's plaatsgevinden Risicomanagement gemeente Oegstgeest, Leiderdorp en Voorschoten 17 van 18 1 Hoe wordt de werking van het risicomanagementsysteem getoetst? 2 Worden zichtbaar verbetering doorgevoerd in het systeem? 3 Welke invloed hebben veranderingen in de organisatie (functies, processen, producten en omgeving) op het risicomanagementsysteem? 4 Hoe wordt getoetst of de doelstellingen met betrekking tot risico's worden behaald? 5 Worden doelstellingen van het risicomanagement binnen de organisatie behaald? 1 Op welke niveau worden de doelstellingen bepaald (bijvoorbeeld strategisch, operationeel, per proces of per afdeling)? 2 Zijn de doelstelling SMART geformuleerd? 3 Zijn de doelstellingen duidelijk voor de medewerkers? 4 Welke categorieën doelstelling worden onderkent (bijvoorbeeld strategisch, operationeel, naleving wet- en regelgeving en betrouwbaarheid van rapportages)? 1 Hoe worden gebeurtenissen geïdentificeerd? 2 Welke periodiciteit zit er in het identificeren van de gebeurtenissen? 3 Op welke niveaus worden gebeurtenissen geïdentificeerd (strategisch en/of operationeel)? 4 Welke methoden worden gebruikt voor het identificeren van gebeurtenissen (bv historische gegevens, workshops, interviews, procesanalyse, scenarioanalyse, gegevensanalyse mbt schades) 5 Hoe zijn de gebeurtenissen gecategoriseerd? 6 Hoe wordt bijgehouden of gebeurtenissen daadwerkelijk zijn opgetreden? Evaluatierapporten Tools RM Methodiek RM Tools RM Methodiek RM - 1 Hoe worden de gebeurtenissen (risico's) beoordeeld? Tools RM - 2 Worden beheersmaatregelen meegenomen in de Methodiek RM beoordeling (inherente of restrisico's)? - 3 Hoe worden de waarschijnlijkheid (kans) en impact van een risico bepaald (bv historische gegevens, workshops, interviews, procesanalyse, scenarioanalyse, gegevensanalyse mbt schades) - 4 Is de beoordeling van waarschijnlijkheid en impact kwantitatief (gebaseerd op ervaringscijfers en onderzoeken) of kwalitatief (obv workshops en interviews) Interview
Normenkader risicomanagement Algemene eisen aan integraal risicomanagement: Ondervangen/aanvullend in BBV: Eisen vanuit de nota risicomanagement: Voorbeeldvragen Vindplaats (voorbeeld) Soort onderzoek ELEMENTEN VAN EEN RISICOMANAGEMENTSYSTEEM Per risico is een reactie geformuleerd Toelichting: Per risico is door het management een beheerstrategie geformuleerd (accepteren, verminderen, delen of vermijden). De reactie is afgestemd op de risicoacceptatiegraad van de organisatie. (zie risicostrategie). 1 Hoe zijn voor de risico's de reacties (beheerstrategie) bepaald? Tools RM 2 Zijn de effecten van de reacties op de waarschijnlijkheid en impact Methodiek RM zichtbaar? 3 Hoe worden kosten en baten van de reactie afgewogen? 4 Hoe is bij het bepalen van de reactie de invloed op het behalen van de doelstelling in ogenschouw genomen (welke invloed heeft de beheersmaatregelen op het behalen van de doelstelling)? Er zijn beheersingsactiviteiten geformuleerd. Toelichting: Er worden beheersingsactiviteiten geformuleerd (bijvoorbeeld richtlijnen en procedures) om te borgen dat de reacties op risico's effectief worden uitgevoerd. Dit zijn de beheersmaatregelen waardoor je risico's vermijdt, vermindert of deelt. 1 Hoe worden de beheersmaatregelen voor een risico bepaald? Tools RM 2 Hoe zijn de betreffende beheersmaatregelen inzichtelijk gemaakt? Methodiek RM 3 Hoe wordt de werking van de beheersmaatregelen getoetst? Risicocultuur Er wordt binnen de organisatie aandacht besteed aan opleiding op het gebied van risicomanagement Toelichting: De organisatie besteed aandacht aan het opleidingen van medewerkers om risicomanagement te kunnen uitvoeren. 1 Hoe gaat de organisatie om met het opleiden van mensen op het gebied van risicomanagement? Binnen de belonings- en beoordelingsstructuur wordt de bijdrage aan risicomanagement meegewogen Toelichting: Medewerkers (met een verantwoordelijkheid op het gebied van risicomanagement) worden 1 Hoe wordt de bijdrage van medewerkers aan risicomanagement beoordeeld op hun bijdrage aan risicomanagement. beoordeeld? Er wordt intern gecommuniceerd over risico's en risicobeheersing Toelichting: Organisatiebreed wordt gecommuniceerd over (het belang van) risicomanagement. 1 Welke communicatie(structuren) rondom risicomanagement zijn er binnen de organisatie? Risicostructuur De verantwoordelijkheden in het risicomanagementproces zijn inzichtelijk Toelichting: Bij integraal risicomanagement heeft ieder binnen de organisatie een verantwoordelijkheid in risicomanagement. De algemeen directeur is eindverantwoordelijk, andere managers ondersteunen de risicomanagementfilosofie en zijn verantwoordelijk voor de naleving en beheer van risico's binnen hun aandachtsgebied. Ander bedrijfspersoneel voert risicomanagement uit conform de richtlijnen. 1 Hoe zijn de verantwoordelijkheden met betrekking tot risicomanagement belegd? 2 Hoe worden de verantwoordelijken beoordeeld op het uitvoeren van hun rol? Opleidingsbudget Functieprofielen Functieprofielen Interviews Nota risicomanagement Functieprofielen De rapportagelijnen met betrekking tot risicomanagement zijn inzichtelijk Toelichting: Relevante informatie over risico's wordt geïdentificeerd, verzameld en gecommuniceerd, zodanig dat de verantwoordelijk personen goed risicomanagement kunnen uitvoeren. Er worden resources beschikbaar gesteld voor het uitvoeren van risicomanagement Toelichting: Risicomanagement kost geld. Een organisatie moet resources (tijd en geld) beschikbaar stellen om het systeem van risicomanagement te onderhouden. Aanvullend: Er is een paragraaf weerstandsvermogen in de begroting en jaarverslag ten minste welke ten minste bevat: a) een inventarisatie van de weerstandscapaciteit; b) een inventarisatie van de risico s; c) het beleid omtrent de weerstandcapaciteit en de risico s Aanvullend: - De weerstandscapaciteit is inzichtelijk gemaakt. 1 Hoe wordt over risico's gerapporteerd binnen de organisatie (wie rapporteert wat aan wie)? Begroting Jaarverslag Overige rapportages 1 Wie zijn er bezig met risicomanagement binnen de organisatie? Nota risicomanagement 2 Hoeveel tijd zijn deze personen gemiddeld kwijt aan Begroting risicomanagement? 3 Heeft de organisatie een budget beschikbaargesteld voor risicomanagement? 4 Welke andere kosten maakt de organisatie op het gebied van risicomanagement (systemen, inhuur advies e.d. exclusief de kosten van beheersmaatregelen)? Tools en technieken Er zijn binnen de organisatie standaard technieken van risicomanagement ontwikkeld Toelichting: De organisatie heeft technieken van risicomanagement bepaald en deze zijn bekend bij de de medewerkers. Hieronder worden de voorgeschreven procedures en richtlijnen voor uitvoeren van risicomanagement bedoeld (bv hoe beoordeel je de impact, hoe beoordeel je de waarschijnlijkheid, standaardrapportages en dergelijke) 1 Welke technieken worden gebruikt om het risicomanagementsysteem te ondersteunen (is dit door heel de organisatie gelijk)? Er zijn binnen de organisatie tool(s) beschikbaar ter ondersteuning van het risicomanagementsysteem Toelichting: De organisatie heeft tools beschikbaar gesteld voor het bijhouden van risicomanagement. 1 Welke tools (systemen, excel, access, NAR e.d.) worden gebruikt om het risicomanagementsysteem te ondersteunen (is dit door heel de organisatie gelijk)? Risicomanagementproces Formats (formulieren e.d.) Tools (excel, NAR, e.d.) Risicomanagement gemeente Oegstgeest, Leiderdorp en Voorschoten 18 van 18