Beleid risicomanagement en weerstandstandsvermogen 2012-2016

Beleid risicomanagement en weerstandstandsvermogen 2012-2016 Gemeente Breda

2

Voorwoord > Het is geen sinecure om in de ontwikkelingen van bedrijfsvoering en control een systeem van sturen via beheersen naar verantwoorden in te richten. De omgeving is steeds in beweging en het is dan ook vrijwel onvermijdelijk dat doelstellingen, uitgangspunten en risico s blijven wijzigen. Een systeem dat de risico s tijdig in beeld brengt, zorgt dat we tijdig maatregelen nemen en tevens bruikbare stuur- en verantwoordingsinformatie levert, is dan ook geen wens maar een absolute noodzaak. De huisaccountant Ernst&Young adviseerde onder andere hierover in het rapport van bevindingen van de controle op de jaarrekening 2011. Het advies was uniformiteit en structuur in het proces aan te brengen en meer op actiegerichtheid te gaan sturen. Dit leidde tot de opdracht om een risicomanagementsysteem te ontwikkelen dat zorgt voor pro-activiteit en uiteindelijk uitmondt in een organisatiecultuur waarin risicomanagement een vanzelfsprekendheid is. Het hier gepresenteerde beleid is de eerste stap om te komen tot een volwassen systeem. Bewust heb ik er voor gekozen om weer te geven hoe we met risicomanagement omgaan, dit document bevat dan ook beleidskeuze s en uitvoeringsaspecten. Dat maakt duidelijk hoe onder andere de berekende bedragen tot stand zijn gekomen en welke processen doorlopen worden. Tot slot. Om risicomanagement zo werkbaar mogelijk te maken, is er gezocht naar zoveel mogelijk praktische ervaringen in het land. We zijn dan ook dankbaar voor de waardevolle bijdragen van het Nederlands Adviesbureau voor Risicomanagement (NAR), de gemeente Arnhem, Prorail, publicaties van de gemeente Amsterdam en de huisaccountant Ernst&Young. Wij verwachten dat deze nota zal bijdragen aan nog beter afgewogen besluiten. Saskia Boelema Wethouder Financiën en Organisatie 3

Inhoudsopgave > > Voorwoord... 3 > Inhoudsopgave... 5 1 Inleiding... 7 1.1 Risico s nemen... 8 1.2 Gemeente Breda... 8 1.3 Totstandkoming... 9 1.4 Leeswijzer... 9 2 Doelstellingen risicomanagement... 11 3 Methode... 13 3.1 Uitgangspunten... 13 3.2 Beleid... 14 3.3 Proces... 14 3.3.1 Context (Waarover gaat het en wat willen we bereiken?) 15 3.3.2 Identificeren (wat kan ons overkomen?) 15 3.3.3 Kwantificeren (Wat zijn onze grootste risico s) 16 3.3.4 Afwegen (hoe kunnen we onze risico s beheersen?) 17 3.3.5 Beheersen (hoe nemen we de beheersing ter hand?) 18 3.3.6 Evalueren (wat is er veranderd en wat hebben we geleerd?) 19 3.4 Risicodatabase... 19 4 Weerstandsvermogen... 21 4.1 Inhoud paragraaf weerstandsvermogen... 21 4.2 Beschikbare weerstandscapaciteit... 21 4.3 Benodigde weerstandscapaciteit... 22 4.4 Beoordeling weerstandsvermogen... 22 0229_12 Nota Risicomanagementbeleid 2012-1016_V3 5 Taken en verantwoordelijkheden... 25 5.1 Raad... 25 5.2 Raadscommissie bestuur... 25 5.3 College... 25 5.4 Stuurgroep risicomanagement... 25 5.5 Afdelingshoofd... 26 5.6 Bedrijfsbureau... 26 5.7 Kernteam risicomanagement... 26 Bijlage Begrippenlijst... 27 5

6

Inleiding 1 In de Managementletter 2011 schetste Ernst&Young een vijf fasen ontwikkelingsmodel om te komen tot een noodzakelijke gedragswijziging als het gaat om risicomanagement. Figuur 1 Ontwikkelingsmodel Proac ef Vanzelfsprekend Calculerend Reac ef Verhullend Ernst&Young plaatste de Gemeente Breda in fase 3 van dit model. In deze fase heeft de gemeente inzicht in de risico s. Om te komen tot een nog betere risicobeheersing is echter meer proactiviteit nodig. Om van daaruit te komen tot een bedrijfscultuur waarin het vanzelfsprekend is om aan risicomanagement te doen, fase 5. Daarnaast gaf de situatie rondom de Biomassacentrale risicomanagement een extra impuls. Het onderzoek dat in het eerste kwartaal van 2012 door Ernst&Young werd uitgevoerd, gaf aan dat er al veel wordt gedaan aan risicomanagement maar dat het ontbrak aan gemeentelijk uniformiteit, eenduidigheid en actieve beheersing. Er is toegezegd de geconstateerde tekortkomingen aan te pakken. Dit beleidskader geeft hier onder andere invulling aan. Gelukkig deden en doen we al een heleboel aan risicomanagement. Sommige afdelingen werken er al jaren mee (afdeling Vastgoedontwikkeling), maar ook een afdeling als Processen, informatie en ondersteuning kent al heel wat maatregelen (terugvaloptie voor als een server uitvallen, zuurstofloos maken van computerruimten in het geval van brand) en in een aantal projecten is het opstellen van een risicoprofiel al routine geworden. Wat er aan ontbreekt is uniformiteit, transparantie en soms een actieve beheersing. Via het risicomanagementbeleid willen we hier vorm aan geven. 7

Uiteindelijk beoogt risicomanagement niets anders dan het bevorderen van risico-intelligentie. Waar het risicogedrag bepaalt hoeveel risico je wilt nemen, bepaalt risico-intelligentie in hoeverre iemand beseft hoeveel risico hij eigenlijk neemt. Zodra hij of zij zich hier van bewust is, gaat de beheersing vanzelf. Want als je weet waar iets mis kan gaan, probeer je dat te voorkomen. Hoe logisch dit ook klinkt, risicomanagement is - zeker in de beginfase - slecht opgewassen tegen de waan van de dag. Daarom is het goed er structuur aan te geven. Dat zorgt ervoor dat we systematisch gebeurtenissen inventariseren die het behalen van de doelen in gevaar kunnen brengen. Om vervolgens passende maatregelen te nemen om ellende te voorkomen. Toch geeft risicomanagement geen garantie dat gebeurtenissen met een negatief gevolg niet meer zullen optreden. Het geeft wel de zekerheid dat je er van tevoren alles aan hebt gedaan ze te voorkomen of de effecten ervan te verminderen. 1.1 Risico s nemen Risico s beschouwen we in dit document niet als iets negatiefs, dat zoveel mogelijk moet worden uitgebannen. Beleid maken en uitvoeren is nu eenmaal risico nemen. Dat betekent wel dat van tevoren goed moet zijn nagedacht over de mogelijke gevolgen, zodat een afgewogen besluit kan worden genomen. Risicomanagement heeft dan ook een politieke kant: de mate waarin risico s worden genomen is een politieke bestuurlijke afweging. 1.2 Gemeente Breda De Gemeente Breda wil risicomanagement gemeentebreed toepassen. Om dit te kunnen doen moeten de doelstellingen van risicomanagement en de kaders waarbinnen risicomanagement zich afspeelt duidelijk zijn. In dit beleidsdocument worden deze kaders neergezet. Alvorens hierop in te gaan, lichten we twee kernbegrippen toe: Risicomanagement: Het beheersen van risico s door op gestructureerde wijze expliciet risico s te inventariseren en beheers maatregelen uit te voeren en evalueren ter vermijding/ vermindering van die risico s. Dit alles in een cyclisch proces waarin de inventarisaties voortdurend up-to-date worden gehouden. Risico: Gebeurtenis die zich al dan niet kan voordoen en die kan leiden tot schade met een financieel gevolg. Bij een risico gaat het altijd om de kans dat een gebeurtenis kan optreden. Het woord kans geeft aan dat het gaat over een mogelijke gebeurtenis. Als het zeker is dat een gebeurtenis zich voordoet, is het geen risico meer en nemen we de post op in de begroting. Maar vaker is het zo dat de gebeurtenis mogelijk gevolgen heeft voor het behalen van de doelstellingen. Voor niet-zekere gevolgen moeten we een financiële buffer aanhouden. De hoogte van deze buffer wordt bepaald door alle geïnventariseerde risico s. 1.3 Totstandkoming Voor de opzet van dit risicomanagementsysteem zijn diverse bronnen geraadpleegd. Allereerst is er nauw samengewerkt met het Nederlands Adviesbureau voor Risicomanagement (NAR). Daarnaast is een aantal malen gesproken met de gemeente Arnhem. Deze gemeente wordt gezien als de best practice op het gebied van risicomanagement binnen gemeenteland. Ook is er contact geweest met Prorail, waar het gaat over risicomanagement op projecten. Daarnaast zijn diverse publicaties gebruikt zoals het handboek Risicomanagement van Deloitte accountants en Risicomanagement: Wat zou Arie doen? een uitgave van het kennisnetwerk Risicomanagement van de OntwikkelingsAlliantie van de gemeente Amsterdam. Uit al deze bronnen is het een voor Breda passend beleid gedestilleerd. Dit beleid is tevens aan de huisaccountant Ernst&Young voorgelegd. 8

1.4 Leeswijzer In hoofdstuk 2 worden de doelstellingen van de Gemeente Breda met betrekking tot risicomanagement toegelicht. In hoofdstuk 3 is de methode, waarmee deze doelstellingen bereikt gaan worden, uiteengezet en lichten we enkele basisbeginselen van risicomanagement toe. Hoofdstuk 4 bevat de keuzes met betrekking tot het weerstandsvermogen. In hoofdstuk 5 hebben we de verantwoordelijkheidsverdeling beschreven. In bijlage is een begrippenlijst opgenomen. 9

10

Doelstellingen risicomanagement 2 Met het toepassen van risicomanagement streeft de Gemeente Breda de volgende doelstelling na: Het inzichtelijk maken van de risico s die de gemeente loopt Risico-intelligentie van de organisatie stimuleren en vergroten Het maken van verantwoorde keuzes in het al dan niet aanvaarden van risico s Zorgdragen dat het optreden van risico s zo weinig mogelijk effect heeft op de uitvoering van bestaand beleid en voorzieningen Minimaliseren van de financiële, imago- en vertragingsgevolgen van ontstane risico s Het voldoen aan de wettelijke vereisten over het weerstandsvermogen uit het Besluit begroting en verantwoording provincies en gemeenten (BBV). 11

12

Methode 3 In dit hoofdstuk wordt het risicomanagementsysteem 1 toegelicht. Een goed functionerend risicomanagementsysteem is gebaseerd op uitgangspunten die geformuleerd zijn in het risicomanagementbeleid en het continu doorlopen van het risicomanagementproces. Figuur 2 Risicomanagementsysteem: uitgangspunten, beleid, proces Mandaat en draagvlak Context Ontwerpen van het beleid Evalueren Iden ficeren Verbeteren van het beleid Uitvoeren van het beleid Monitoren van het beleid Beheersen Afwegen oplossing Kwan ficeren Uitgangspunten bijstelling elke 4 jaar Communica e rapportering elk kwartaal College, BG en JR raad 3.1 Uitgangspunten Voor een succesvolle toepassing van risicomanagement is het belangrijk om te allen tijde de juiste uitgangspunten voor ogen te houden. Deze uitgangspunten zijn bepalend voor de cultuur en houding van de organisatie ten aanzien van risicomanagement. De juiste uitgangspunten zorgen niet alleen voor de gewenste houding bij de invoering van risicomanagement, maar zijn ook op langere termijn bruikbaar. Men kan altijd terugvallen op de uitgangspunten van risicomanagement, bijvoorbeeld als er in de loop der tijd weerstand tegen risicomanagement ontstaat. De uitgangspunten die de Gemeente Breda hanteert ten aanzien van risicomanagement zijn: Risico s nemen is onvermijdelijk, er over communiceren ook Er worden al veel dingen goed beheerst, het gaat erom samenhang en structuur aan te brengen en te blijven verbeteren Bewust omgaan met risico s is een onderdeel van ieders werk Wie zijn risico s niet kent, heeft geen keuze. Het gaat er vooral om te komen tot verantwoorde besluiten Risico s worden het best beheerst door hen die er belang bij hebben Wie niet reflecteert op successen en fouten, stopt met leren. 1 Het risicomanagementsysteem is gebaseerd op de ISO 31000-norm. 13

3.2 Beleid Het risicomanagementbeleid is de basis voor het verankeren van risicomanagement op alle niveaus in de organisatie en vormt het kader waarbinnen risicomanagement wordt uitgevoerd. Het beleid is gestoeld op de uitgangspunten van risicomanagement en wordt continu gemonitord door het door de afdeling Control van de Concernstaf en eens in de vier jaar opnieuw vastgesteld door het college van Burgemeester en Wethouders en ter accordering voorgelegd aan de raad. Dit document vormt het risicomanagementbeleid voor de Gemeente Breda. 3.3 Proces Het risicomanagementproces is het continue proces van risico s in beeld krijgen, het kwantificeren van de risico s, het afwegen van oplossingen, het implementeren van de te nemen beheersmaatregelen en vervolgens het evalueren van de effecten van de uitgevoerde maatregelen. Het risicomanagementproces wordt per organisatieonderdeel (en project) eens per kwartaal doorlopen, waarna er acties worden genomen. Figuur 3 Het risicomanagementproces Context Evalueren Beheersen Iden ficeren Kwan ficeren Afwegen oplossing Communica e rapportering elk kwartaal College, BG en JR raad De 6 stappen van de risicomanagementcylus: Context: Waarover gaat de risicoanalyse en wat willen we ermee bereiken? Identificeren: Wat kan ons allemaal overkomen? Kwantificeren: Wat zijn onze grootste risico s? Afwegen: Hoe kunnen we de grootste risico s beheersen? Beheersen: Hoe nemen we de beheersing ter hand? Evalueren: Wat is er veranderd en wat hebben we geleerd? 14

Hieronder lichten we verschillende stappen beknopt toe. 3.3.1 Context (waarover gaat het en wat willen we bereiken?) Risico-analyse is geen doel op zich, maar een middel. Het is daarom verstandig om na te gaan wat je ermee wilt bereiken. In deze stap wordt gekeken naar interne en externe factoren die van belang zijn voor de risicoanalyse. Het gaat om vragen als: Wat is je doel? Waar sta je nu? Word je weleens verrast? Heb je zicht op de risico s? Krijgen anderen de kans hun risico s te benoemen? Wat gaat er mis zonder risicomanagement? Met behulp van deze informatie kan de doelstelling van de risicoanalyse worden vastgesteld. Vervolgens gaan we het organiseren. Wie is de opdrachtgever en wie neem je op in de projectgroep? Uiteindelijk leidt dit alles tot een beargumenteerd antwoord op de vraag: Wat gaan we doen en wie is waarvoor verantwoordelijk? 3.3.2 Identificeren (wat kan ons overkomen?) In deze stap proberen we een uitgebreid overzicht te verkrijgen van gebeurtenissen die het behalen van doelen kunnen belemmeren of vertragen. Het gaat er in deze stap om een zo breed mogelijk spectrum aan risico s te verkrijgen. We kijken dan ook vanuit meerdere invalshoeken. Het gaat er dus steeds om: hebben we alles in beeld en is het actueel? Dit doen de afdelingshoofden, projectleiders, directeuren en gemeentesecretaris. Hierna worden deze personen risico-eigenaren genoemd. Dit zijn de medewerkers die eindverantwoordelijk zijn voor het risico en erover rapporteren, elk op hun niveau. De Gemeente Breda kiest ervoor om de risico s van onderuit de organisatie naar boven te laten komen (bottom-up benadering). Dit is een praktische benadering omdat risico s zo benoemd worden door degenen die dagelijks het werk uitvoeren. Dit zullen vooral operationele risico s zijn, die met het verrichten verband houden. Met behulp van deze inzichten bepaalt het managementteam op zijn beurt de top 10 van de directie. Vervolgens vormen deze risico s de basis voor de gemeente brede risico s. Dit zijn de risico s die bepalend zijn voor de richting van de Gemeente Breda. Deze toprisico s worden opgenomen in begroting, bestuursrapportages en jaarrekening. Figuur 4 Bottom-up benadering RAAD College van B&W/ Gemeentescretaris Gemeentebrede risico s (richten) Directeuren Direc e risico s (inrichten) Afdelingshoofden Afdelingsrisico s (verrichten) 15

Om een integraal beeld te krijgen, voeren de directies hun risico s toe aan een database. Tot slot kijkt de afdeling Control naar de onderlinge samenhang, consistentie en dergelijke. 3.3.3 Kwantificeren (wat zijn onze grootste risico s) Na het in kaart brengen van de bedreigingen/risico s worden deze toegewezen aan risicobeheerders. Deze personen zijn operationeel verantwoordelijk voor het risico. Zij analyseren en beoordelen de bedreigingen/risico s in termen van kansen en risico s. Je hebt altijd een best case, dit is de kans, en je hebt ook een worst case en dat is je grootste risico. Op basis van de analyses bepalen we de kans van optreden en de mogelijke gevolgen. De gevolgen brengen we zo concreet mogelijk in beeld, waardoor de beheersmaatregelen vervolgens beter te bepalen zijn. Als het mogelijk is hanteren we meerdere bronnen om een zo reëel mogelijke inschatting van de omvang te maken. De uitkomsten van de risicoanalyse bespreken we met relevante betrokkenen (opdrachtgever, projectteam, afdeling) om risico s te delen en zo draagvlak te krijgen. Het is goed onderscheid te maken tussen het initiële risico en het restrisico. Het initiële risico is de inschatting van het risico zonder effect van de beheersmaatregelen. Door het nemen van correctieve beheersmaatregelen (zie: paragraaf Beheersen) zal de schade verminderen of zelfs helemaal verdwijnen. Wat dan resteert, is het restrisico. Als we hieronder spreken over gevolgen, spreken we over restrisico s. Dit risico neemt de risico-eigenaar op in zijn risicoregister. Als beheersmaatregelen geld kosten, dan nemen we deze op in de begrotingen. Prioritering risico s Om de risico s onderling eenvoudig te kunnen rangschikken, gebruiken we een klasse-indeling voor zowel het gevolg (= restrisico) als voor de kans van optreden. Door gevolgklasse te vermenigvuldigen met de kansklasse ontstaat de risicoscore. Hoe hoger de risicoscore, hoe belangrijker het is om de risico s aan te pakken. We hanteren 5 kansklassen en 5 gevolgklassen. Elk risico krijgt zo een relatieve omvang tussen 1 en 25. Zoals gezegd gebruiken we 5 kansklassen. De kans van optreden wordt geschat door de risicobeheerder. Voor de gevolgen gebruiken we eveneens vijf klassen. Om het benodigde weerstandsvermogen zo goed mogelijk te kunnen bepalen, vertalen we alle gevolgen in geld. Te denken valt aan het mislopen van inkomende subsidies, extra kosten projectleiding, extra rente- en/ of communicatiekosten. De financiële gevolgen berekenen we zo objectief mogelijk. Soms zijn er onvoldoende gegevens beschikbaar om nauwkeurige schattingen te maken. In die gevallen maken we gebruik van onderstaande tabel. We geven dan bijvoorbeeld aan dat het risico ligt tussen de 100.000 en 250.000. We nemen het gemiddelde voor de berekening in de risicomatrix, te weten in dit voorbeeld 175.000. Kansen en gevolgenmatrix Klasse Kans Gevolgen 1 < 10% < 0,1 mln. 2 10-30% 0,10-0,25 mln. 3 30-50% 0,25-0,50 mln. 4 50-70% 0,50-1,00 mln. 5 70%-90% > 1,00 mln. Risicoscore Zoals gezegd prioriteren we de risico s met behulp van de risicoscore. De risicoscore wordt bepaald door de klassen van kans en gevolg te vermenigvuldigen. Zo krijgt een risico met een 16

financieel gevolg van 375.000 (klasse 3) en een kans van optreden van 60% (klasse 4) een risicoscore van 12 (= 3 x 4). Een risico met een financieel gevolg van 1.450.000 (klasse 5) en een kans van optreden van 90% (klasse 5) krijgt zelfs een risicoscore van 25 (= 5 x 5). Hoe hoger de score, hoe belangrijker het is om maatregelen te nemen. We geven dit schematisch weer in een risicokaart: Risicokaart (scores) Gevolgklasse Kans 1: < 10% Kans 2: 10% - 30% Kans 3: 30% - 50% Kans 4: < 50% - 70% Kans 5: < 70% - 90% Score 5: > 1,00 mln. 5 10 15 20 25 Score 4: > 0,50 mln. < 1,00 mln. 4 8 12 16 20 Score 3: > 0,25 mln. < 0,5 mln. 3 6 9 12 15 Score 2: > 0,10 mln. < 0,25 mln. 2 4 6 8 10 Score 1: < 0,1 mln. 1 2 3 4 5 Deze risicokaart gebruiken we ook als hulpmiddel om te bepalen aan wie we welk risico melden. Primair is het college eigenaar van alle risico s en de raad is er eindverantwoordelijk voor. Daarom is het belangrijk dat we afspraken maken over het melden van de risico s. We hanteren het principe dat hoe groter de gevolgen van het risico zijn, hoe hoger het niveau in de organisatie is waar dit risico bekend moet zijn. Risico s met een score van 15 en hoger melden we via de cyclische producten altijd aan de raad. Over risico s met een score van 8 en hoger informeert de ambtelijke organisatie te allen tijde het college. De overige risico s handelen we ambtelijk af. Vanzelfsprekend zijn integrale risico-overzichten te allen tijde beschikbaar voor college en raad. Risicokaart (meldingsniveau) Gevolgklasse Kans 1: Score 5: > 1,00 mln. Score 4: > 0,50 mln. < 1,00 mln. Score 3: > 0,25 mln. < 0,5 mln. Score 2: > 0,10 mln. < 0,25 mln. Score 1: < 0,1 mln. < 10% Gemeente secretaris Kans 2: 1 0% - 30% Kans 3: 30% - 50% Kans 4: < 50% - 70% Kans 5: < 70% - 90% College Raad Raad Raad Directie College College Raad Raad Directie Directie Gemeente secretaris Directie College College Raad Gemeente secretaris College Directie Directie Directie Directie College Gemeente secretaris 3.3.4 Afwegen (hoe kunnen we onze risico s beheersen?) Nu de belangrijkste risico s in kaart zijn gebracht, gaan we nadenken over de manier waarop we de belangrijkste risico s kunnen beheersen, dan wel de kansen te benutten. Daar is het immers allemaal begonnen. Voor de goede orde: het doel is niet om koste wat het kost risico s te vermijden of te voorkomen. Het doel is vooraf te overwegen wat we met een risico of kans gaan doen. Dat noemen we beheersmaatregelen. 17

Er zijn allerlei typen van beheersmaatregelen te bedenken, maar deze kunnen we uiteindelijk terugbrengen tot: Maatregelen waarbij risico s zelf worden gedragen Vermijden: stoppen met de activiteit Accepteren: aanvaarden risico (onder voorwaarden) Verminderen: treffen van beheersmaatregelen Maatregelen waarbij de risico s worden overgedragen aan een andere partij Verzekeren Opdrachtnemer: stoppen met zelf uitvoeren (uitbesteden of inkopen) Figuur 5 Soorten beheersmaatregelen Risico Overdragen Zelf dragen Verzekeren Vermijden Opdrachtnemer Accepteren Verminderen Oorzaak Gevolg Als er beheersmaatregelen genomen dienen te worden, is het van belang dat deze effectief zijn. Tevens is het belangrijk dat de maatregelen proportioneel zijn. Soms is het goedkoper het risico te nemen. Tevens beoordelen we of maatregelen uitvoerbaar zijn, of het om beïnvloedbare zaken gaat en of de beheersmaatregelen misschien nieuwe risico s met zich mee brengen. Op basis van deze informatie kiezen we onze beheerstrategie. De kosten en tijd voor het uitvoeren van de maatregelen verwerken we in de begrotingen en planningen. Tot slot wijzen we de maatregelen toe aan een actor. Dit is degene die het risico het best kan beheersen en/of die er het meeste belang bij heeft. Dit alles leggen we vast in het risicoregister, waarmee de opdrachtgever kan monitoren hoe het risico zich ontwikkelt. 3.3.5 Beheersen (hoe nemen we de beheersing ter hand?) Sommige risico s worden vermeden en sommige overgedragen. Maar er zijn ook risico s die we zelf moeten gaan beheersen, daarvoor hebben we in voorgaande stap een beheersstrategie bedacht. Nu komt het aan op het uitvoeren van deze maatregelen. We gaan daarbij zoveel mogelijk planmatig te werk. We maken een plan waarin is aangegeven wie wat gaat doen, 18

wat daarvoor nodig is, hoe we de effecten van de maatregelen bewaken en hoe erover wordt gerapporteerd. Ook voor de beheersmaatregelen geven we kaders mee als budget, tijdsduur en kwaliteitseisen. Het uitvoeren van de beheerstrategie gaat zoveel mogelijk deel uitmaken van het dagelijks werk. We koppelen ook de rapportering zoveel mogelijk aan de reguliere cyclische producten. Daarin geven we steeds aan wat de status van de beheersmaatregelen is. 3.3.6 Evalueren (wat is er veranderd en wat hebben we geleerd?) Een groot deel van het proces is nu afgerond. We hebben de risico s geïnventariseerd, geanalyseerd, maatregelen bedacht om er zo goed mogelijk mee om te gaan en deze maatregelen ook uitgevoerd. Zijn we dan klaar? Nee, risicomanagement is een cyclisch proces. Indien blijkt uit de evaluatie dat het effect van de maatregel niet het beoogde effect heeft op het minimaliseren van het risico, kan er nog bijgestuurd worden. Het is dus goed om periodiek terug te kijken om beter vooruit te kunnen kijken. Hiermee wordt de risico-intelligentie verder aangescherpt. We leren zo beter prioriteiten vast te stellen, de effecten van de beheersing beter in te schatten. De risicocoördinatoren van de bedrijfsbureaus zullen dan ook minimaal eens per kwartaal- kwalitatieve analyses maken, evaluatiebijeenkomsten organiseren waarin vragen aan de orde komen als: Is het risicoprofiel kleiner of groter geworden? Zijn de restrisico s nog wel acceptabel? Zijn de beoogde effecten van de beheersmaatregelen behaald en zo nee, waarom niet? Hoe maken we het risicobewustzijn en risicomanagement tot een onlosmakelijk onderdeel van ons werk? Wat zijn de concrete vervolgstappen? 3.4 Risicodatabase Als hulpmiddel bij de uitvoering van risicomanagement maakt de Gemeente Breda gebruik van een database om de risico s vast te leggen. Alle risico s die worden geïdentificeerd nemen we met bijbehorende kans en gevolgklassen op in een database die de directies continu vullen. Door de hele organisatie gebruiken we dezelfde database en beschrijvingswijze. Het bestand gebruiken we ook bij het berekenen van de benodigde weerstandscapaciteit. 19

20

Weerstandsvermogen 4 Op grond van artikel 9.2 van het BBV moeten we in de begroting en de jaarrekening een paragraaf weerstandsvermogen opnemen. We gebruiken de resultaten van het risico- managementproces om deze paragraaf op te stellen. 4.1 Inhoud paragraaf weerstandsvermogen De paragraaf weerstandsvermogen moet volgens artikel 11.2 van het BBV minimaal de volgende elementen bevatten. Een inventarisatie van de beschikbare weerstandscapaciteit (Hoeveel middelen zijn er beschikbaar) Een inventarisatie van de risico s, de benodigde weerstandscapaciteit (Hoeveel middelen hebben we nodig?) Het beleid over het weerstandsvermogen. Ook de risico s van het Grondbedrijf en de verbonden partijen nemen we mee in de paragraaf weerstandsvermogen. Dat zorgt voor een integraal inzicht in de risicopositie van de gemeente. De raad wordt via de concernbegroting, bestuursrapportages en jaarrekening op de hoogte gehouden van de toprisico s en de gevolgen voor de houdbaarheid van de begroting. Bij de begroting en de jaarrekening presenteren we een actueel overzicht van de risico s, inclusief risicoscore, waarin we tevens het weerstandsvermogen belichten. Risico s met een score van > 15 lichten we afzonderlijk toe. Bij de jaarrekening geven we tevens aan welke risico s zich daadwerkelijk hebben voorgedaan. Tevens geven we aan welke maatregelen we hebben genomen en wat hun effect was. Tot slot lichten we de nieuwe risico s toe. In de bestuursrapportages beperken we ons tot de mutaties in het risicoprofiel en op de effecten van de beheersmaatregelen. Hieronder zullen we de belangrijkste kernbegrippen, als het gaat over weerstandsvermogen, toelichten. Te weten: beschikbare en benodigde weerstandscapaciteit en weerstandsvermogen. Vervolgens zetten we het beleid over het weerstandsvermogen uiteen. 4.2 Beschikbare weerstandscapaciteit De beschikbare weerstandscapaciteit is in het BBV (artikel 11.1) omschreven als de middelen en mogelijkheden waarover de gemeente beschikt of kan beschikken om niet begrote kosten te dekken. De Gemeente Breda rekent de volgende componenten tot de beschikbare weerstandscapaciteit: Algemene reserve Concern Algemene reserve Grondbedrijf (inclusief toekomstige winstpotenties in de grondexploitaties) Algemene reserve BSW Onbenutte belastingcapaciteit (art.12-norm: mogelijkheid belastingtarieven te verhogen) Post onvoorzien in begroting Mogelijkheid tot bezuinigen Een aantal reserves rekenen we niet tot de beschikbare weerstandscapaciteit. Te denken valt hierbij aan bestemmingsreserves en stille reserves. Doordat er vaak claims liggen op bestem- 21

mingsreserves nemen we deze niet mee. Ook de zogenaamde stille reserves nemen we niet mee. Deze reserves ontstaan op het moment dat de boekwaarde lager is dan de marktwaarde van de activa. Omdat deze middelen pas geïncasseerd kunnen worden als de activa verkocht worden, rekenen we ook deze middelen niet tot de beschikbare weerstandscapaciteit. Echter, als er expliciete besluiten zijn genomen om stille reserves te incasseren, voegen we deze toe aan de beschikbare weerstandscapaciteit. 4.3 Benodigde weerstandscapaciteit Het totaal van de risico s (met financiële gevolgen) die we lopen, bepaalt de hoogte van de benodigde weerstandscapaciteit. Voor het bepalen van de benodigde weerstandscapaciteit gaan we uit van het restrisico. Dit is het initiële risico waar de effecten van de beheersmaatregelen van zijn afgetrokken. We hebben nu per risico het financieel gevolg bepaald. Maar als we alle individuele restrisico s bij elkaar optellen ontstaat een te negatief beeld over het weerstandsvermogen. Het is immers vrijwel zeker dat niet alle risico s zich tegelijkertijd voor zullen doen. Daarnaast zal niet ieder risico zich daadwerkelijk in de maximale omvang voordoen. Om deze overschatting van de te lopen risico s te voorkomen, maken we gebruik van een algemeen geaccepteerde en krachtige simulatietechniek, de Monte Carlo-methode. Die techniek maakt simulaties op basis van de kans van optreden en de gevolgen zoals die per risico zijn aangegeven. Via deze risicosimulatie berekenen we welk bedrag er nodig is om de geïdentificeerde risico s in financiële zin af te dekken. Hierbij wordt gerekend met zekerheidspercentages. Deze percentages geven aan hoe waarschijnlijk het is dat de financiële gevolgen van de werkelijk opgetreden risico s onder de berekende waarde valt. Zo lopen we bij een zekerheidspercentage van 50%, 50% kans dat de werkelijke financiële gevolgen boven het berekende bedrag ligt. Bij het zekerheidspercentage van 90% is de kans op een hogere uitkomst nog maar 10%. Het zal duidelijk zijn dat het berekende bedrag aan benodigde weerstandscapaciteit bij een hoger zekerheidspercentage, ook hoger uitkomt dan bij een lager zekerheidspercentage. 4.4 Beoordeling weerstandsvermogen De verhouding tussen de beschikbare en benodigde weerstandscapaciteit geef het weerstandsvermogen aan. Onderstaande figuur geeft het een en ander schematisch weer: 22

Figuur 6 Schematische weergave weerstandsvermogen Benodigde weerstandscapaciteit (risico s) Beschikbare weerstandscapaciteit (middelen) Ini ële risico s (financieel, juridisch, materieel enz.) Algemene reserves Onvoorzien Af: Maatregelen Bezuinigen Rest risico s Onbenu e belas ngcapaciteit WEERSTANDSVERMOGEN Het is belangrijk om te weten of er sprake is van een toereikend weerstandsvermogen: Hebben we genoeg middelen om de risico s aan te kunnen? Het antwoord is ja, als de beschikbare weerstandscapaciteit groter is dan de benodigde weerstandscapaciteit (= uitkomst Monte Carlo simulatie). De balans, in figuur 6, zwenkt dan door naar rechts. Als we de beschikbare en benodigde weerstandscapaciteit hebben berekend, kunnen we het weerstandsvermogen bepalen. Zoals we hierboven al hebben besproken, is de hoogte van de benodigde weerstandscapaciteit afhankelijk van het gekozen zekerheidspercentage. De Gemeente Breda kiest ervoor om met een bandbreedte van 75%-90% te werken. Dat wil zeggen: we willen maximaal 25% kans lopen dat tegenvallers, die zich daadwerkelijk voordoen, uitstijgen boven het berekend bedrag. De percentages 75 en 90 zijn algemeen gebruikelijk en worden onder andere door de gemeente Arnhem en het Nederlands Adviesbureau voor Risicomanagement gehanteerd. We zullen dan ook steeds berekenen wat we minimaal nodig hebben om de risico s af te dekken (75%) en het bedrag dat we in de optimale situatie (90%) nodig hebben. Deze grenzen vergelijken we vervolgens met de beschikbare weerstandscapaciteit. Er kunnen zich dan drie situaties voordoen: 1. Beschikbare weerstandscapaciteit is kleiner dan de benodigde weerstandscapaciteit (ligt onder de zekerheidsgrens van 75%). De weegschaal uit figuur 6 zwenkt door naar links. De beschikbare weerstandscapaciteit moet aangevuld worden; 2. Beschikbare weerstandscapaciteit is voldoende om de benodigde weerstandscapaciteit af te dekken (ligt tussen de ondergrens (75%) en bovengrens (90%)). De weegschaal uit figuur 6 is in balans. Er zijn geen maatregelen nodig; 3. Beschikbare weerstandscapaciteit is groter dan de benodigde weerstandscapaciteit (ligt boven de zekerheidsgrens van 90%). De weegschaal uit figuur 6 zwenkt door naar rechts. De beschikbare weerstandscapaciteit kan afgeroomd worden. 23

Schematisch: Figuur 7 Weerstandsvermogen, de drie situaties 75% 90% 1. beschikbare weerstandscapaciteit Aanvullen 2. beschikbare weerstandscapaciteit 3. beschikbare weerstandscapaciteit Afromen Benodigde weerstandscapaciteit In de paragraaf Weerstandsvermogen presenteren we telkens de ontwikkelingen op dit gebied. Tevens geven we daarin aan of aanvulling gewenst is of dat afroming mogelijk is. 24

Taken en verantwoordelijkheden 5 In dit hoofdstuk zetten we uiteen welke taken en verantwoordelijkheden de actoren hebben. 5.1 Raad Actor Taken en verantwoordelijkheden Wanneer Gemeenteraad Vaststellen kaders weerstandsvermogen Eén keer in de 4 jaar Vaststellen paragraaf weerstandsvermogen Tweemaal per jaar (bij begroting en jaarrekening) 5.2 Raadscommissie bestuur De raadscommissie adviseert de raad over het beleid ten aanzien van het risicomanagement. Voorts besteedt deze commissie ten minste een keer per jaar extra aandacht aan risicomanagement waarbij met de vertegenwoordiger van het college de algemene gang van zaken rondom risicomanagement wordt doorgelicht. Een goed moment hiervoor is de jaarrekening en/of begroting. Actor Taken en verantwoordelijkheden Wanneer Raadscommissie bestuurlijke zaken Advisering raad over kaders weerstandsvermogen Sparring partner College over risicomanagement Eén keer in de 4 jaar Eenmaal per jaar bij jaarrekening 5.3 College Actor Taken en verantwoordelijkheden Wanneer College van Burgemeester en Wethouders Vaststellen risicomanagementbeleid Informeren raad over gemeentebrede toprisico s en beheersmaatregelen met een risico-score > 15 Informeren van de raad over risico s bij belangrijke raadsvoorstellen Eén keer in de 4 jaar N.a.v. voortgangsrapportages (o.a. in voor- en najaar) Continu 5.4 Stuurgroep risicomanagement Actor Taken en verantwoordelijkheden Wanneer Gemeentesecretaris (voorzitter), directeuren, concerncontroller en derden (bijv. accountant, experts e.d.) Verantwoordelijk voor behalen doelstellingen risicomanagement (binnen directie) Verantwoordelijk voor (gemeentebreed) ambtelijke risicoprofiel Monitoren risicoprofielen van de (directies) afdelingen Aanpakken afdeling/ directie overstijgende risico s Rapporteren aan college over gemeente brede toprisico s met een risicoscore > 8 Continu Continu Elk kwartaal Continu Via cyclische rapportages 25

5.5 Afdelingshoofd Actor Taken en verantwoordelijkheden Wanneer Afdelingshoofd Verantwoordelijk voor afdelingsrisicoprofiel Continu Doorlopen risicomanagementproces Rapporteren aan MT over afdelingstop 10 Faciliteren risicomanagementcoördinator Minimaal elk kwartaal. Elk kwartaal Continu 5.6 Bedrijfsbureau Actor Taken en verantwoordelijkheden Wanneer Bedrijfsbureau Ondersteunen afdelingshoofd bij het door lopen van risicomanagementproces Vullen risicodatabase Aanspreekpunt voor de afdeling m.b.t. risicomanagement Door afdelingsmanager te bepalen, maar minimaal elk kwartaal Continu Continu 5.7 Kernteam risicomanagement Het kernteam risicomanagement bestaat uit een groep medewerkers. Deze personen hebben bij voorkeur een verschillende achtergrond in de organisatie. Het kernteam wordt voorgezeten door de afdeling Control. De taken van het kernteam zijn: Actor Taken en verantwoordelijkheden Wanneer Kernteam risicomanagement Opstellen, uitvoeren, monitoren en herzien van risicomanagementbeleid Bijhouden actualiteiten m.b.t. risicomanagement (zowel op vakgebied als voor het risicoprofiel) Toezien op risicomanagementproces binnen afdelingen en directies Zicht houden op kwaliteit en samenhang afdelings-, project- en directie- en gemeente brede risicoprofielen Aanspreekpunt in de organisatie m.b.t. risicomanagement Zorgdragen voor vergroten risicobewust-zijn Continu, maar één keer in de 4 jaar opnieuw voorleggen aan college Continu Continu Continu Continu Continu Afdeling Control Actor Taken en verantwoordelijkheden Wanneer Afdeling Control Opstellen paragraaf weerstandsvermogen (beschikbare weerstandscapaciteit door SB/ABB) Twee keer per jaar (bij begroting en jaarrekening) 26

Begrippenlijst 2 B Actiehouder De persoon die of het organisatieonderdeel dat is aangewezen om de risicobeheersmaatregel uit te voeren onder verantwoordelijkheid van de risicobeheerder Zie actiehouder. Beheersaspect De resultaten en middelen waarop een organisatie wordt gestuurd. Beheersmaatregel Een activiteit die zich op enige wijze richt op het elimineren, vermijden of verkleinen van de oorzaak of het gevolg van een ongewenste gebeurtenis. Maatregel waarmee een risico wordt gewijzigd. Belanghebbende Een persoon of organisatie die invloed kan uitoefenen op, invloed ondervindt van, of invloed meent te ondervinden van een besluit of activiteit. Context Het geheel aan interne en externe parameters waarmee rekening moet worden gehouden bij het managen van risico s en het vaststellen van de reikwijdte en de risicocriteria voor het risicomanagementbeleid. Correctieve maatregel Een maatregel die als doel heeft om na het optreden van een ongewenste gebeurtenis alsnog de beoogde doelstellingen te realiseren. Endogeen risico Een risico waarvan de beïnvloedbaarheid en verantwoordelijkheid binnen de eigen organisatie ligt (gezien vanaf degene die er over rapporteert). Effect Een afwijking ten opzichte van de verwachting. Exogeen risico Een risico waarvan de beïnvloedbaarheid en verantwoordelijkheid buiten de eigen organisatie ligt (gezien vanuit het gezichtpunt van degene die erover rapporteert). Externe context Externe omgeving waarin de organisatie streeft naar het behalen van haar doelstellingen. Facilitator Een persoon die risicobijeenkomsten begeleidt. 2 Ontleend aan: Risicomanagement: Wat zou Arie doen? een uitgave van het kennisnetwerk Risico-management van de OntwikkelingsAlliantie van de gemeente Amsterdam.. 27

Gateway review Toets, uitgevoerd door deskundigen van buiten de organisatie of het project, waarbij wordt nagegaan of de noodzakelijke randvoorwaarden zijn vervuld, of het project goed op koers ligt en wat de kansen en risico s zijn. De gateway review is qua aanpak breder dan een risicoanalyse. De methode combineert een organisatorische met een technische en psychologische invalshoek en levert een gedegen beeld van de stand van zaken in een project. Gebeurtenis Een voorval dat invloed heeft of kan hebben op het behalen van de beoogde doelstellingen van een organisatie. Gevolg Het effect dat voortvloeit uit het optreden van een gebeurtenis. Gevolgklasse Ordegrootte gevolg. Waar geen exacte kwantitatieve gegevens voor handen zijn, wordt vaak gebruik gemaakt van een aantal gevolgklassen om een ordegrootte mee te geven. Initieel risico De inschatting van het risico zonder de effecten van beheersmaatregelen. Interne context Interne omgeving waarin de organisatie streeft naar het behalen van haar doelstellingen. Invalshoeken Perspectieven om op verschillende manieren naar een project of organisatie te kijken als hulpmiddel bij de identificatie van risico s. Impact Zie Gevolg. Incident Zie Gebeurtenis. ISO 31000 Wereldwijde norm voor risicomanagement. Kader voor risicomanagement Zie Raamwerk. Kans De mogelijkheid dat een gebeurtenis zich voordoet uitgedrukt in een waarde tussen 0 en 1 of tussen de 0% en 100%. Kansklasse Ordegrootte kans. Waar geen exacte kwantitatieve gegevens voorhanden zijn, wordt vaak gebruik gemaakt van een aantal kansklassen om een ordegrootte mee te geven. Krachtenveldanalyse Analyse die tot doel heeft inzicht te verwerven in de betrokken partijen, hun positie en belangen ten aanzien van het project. 28

Kwalitatieve risicoanalyse Een risicoanalyse waarbij de risico s op basis van een kwalitatieve beoordeling in volgorde van belangrijkheid worden gezet. Kwantificeringstabel Tabel die wordt gebruikt om de gevolgen van risico s te kwantificeren als er onvoldoende gegevens beschikbaar zijn om kans van optreden en/of de gevolgen van de risico s exact in kaart te brengen. In een kwantificeringstabel worden de kans van optreden van risico s en de gevolgen in bijvoorbeeld tijd en geld binnen bepaalde bandbreedtes aangegeven. Kwantitatieve risicoanalyse Een risicoanalyse waarbij de omvang van de kans en van het gevolg van de risico s en onzekerheden kwantitatief, dus in getallen, worden geschat. Monitoring Voortdurend controleren van, toezicht houden op, kritisch waarnemen of vaststellen van een toestand om eventuele wijzigingen ten opzichte van het vereiste of verwachte prestatieniveau te identificeren. Ongewenste gebeurtenis Een voorval dat negatieve invloed heeft of kan hebben op het behalen van de beoogde doelstellingen. Ongewenste topgebeurtenis Een voorval dat in de risicoanalyse wordt gehanteerd als de meest ongewenste gebeurtenis. Onzekerheid Onbekendheid met de feitelijke en/of toekomstige situatie door het geheel of gedeeltelijk ontbreken van informatie over, inzicht in of kennis van een gebeurtenis, de gevolgen daarvan of de waarschijnlijkheid dat deze zich voordoet. Oorzaak Een gebeurtenis of situatie die kan leiden tot het optreden van een ongewenste gebeurtenis. Preventieve maatregel Een maatregel die als doel heeft om het risico vooraf te elimineren, vermijden of verkleinen. Zie ook beheersmaatregel. QuickScan Een globale risicoanalyse gericht op het verkrijgen van een globaal beeld van de risico s. Raamwerk Geheel van componenten die de basis en organisatorische maatregelen bieden voor ontwerp, implementatie, monitoring, beoordeling en continue verbetering van risicomanagement in alle lagen van de organisatie. Restrisico De inschatting van het risico met medeneming van de effecten van beheersmaatregelen. Risico dat overblijft na risicobeheersing. 29

Risico Een onzekere gebeurtenis die kan leiden tot het afwijken van de gestelde doelstellingen en eisen. De zwaarte van het risico wordt bepaald door een combinatie van de waarschijnlijkheid dat een gebeurtenis plaatsvindt en de impact ervan op doelstellingen en eisen. Risicoallocatie De verdeling over betrokken partijen van de verantwoordelijkheid van het beheer van het risico en voor het dragen van de gevolgen indien een risico optreedt. Risicoanalyse Systematische inventarisatie en analyse gericht op het verkrijgen van de risico s die kunnen leiden tot een vooraf vastgestelde ongewenste gebeurtenis. Risicobehandeling Proces waarmee een risico wordt aangepast door het risico te vermijden, over te dragen, te accepteren of te beheersen. Risicobeheerder De persoon die operationeel verantwoordelijk is voor het risico. De risicobeheerder stuurt de actiehouder aan en rapporteert aan de risico eigenaar. Risicobeheersmaatregel Zie Beheersmaatregel. Risicobeoordeling Proces waarin de resultaten van een risicoanalyse worden vergeleken met risicocriteria om vast te stellen of het risico en/of de omvang ervan aanvaardbaar of tolereerbaar is. Het rangschikken van risico s door in absolute of relatieve zin de omvang te bepalen door de kans van optreden te vermenigvuldigen met het gevolg. Risicobeschrijving Een beschrijving van een risico waarbij de bijzondere gebeurtenis of normale onzekerheid, de oorzaak ervan en het gevolg ervan zijn opgenomen. Risicobron Element dat afzonderlijk of in combinatie met andere elementen de mogelijkheid in zich heeft tot een risico te leiden. Risicocategorieën Zie Invalshoeken. Risicocriteria Referentiekader op basis van de doelstellingen van de organisatie waarmee wordt bepaald welke type risico s in welke orde van grootte acceptabel zijn en/of gelopen mogen en/of kunnen worden. Risicoregister Een hulpmiddel ten behoeve van risicomanagement waarin een overzicht wordt bijgehouden van ten minste de risico s, de status van de risico s en de beheersmaatregelen. Risicodrager De persoon of het organisatieonderdeel aan wie het risico is toegewezen. 30

Risico-eigenaar De persoon die eindverantwoordelijk en bevoegd is om het risico te managen. Risicohouding Benadering van een organisatie bij de beoordeling en het uiteindelijk nastreven, behouden, nemen of vermijden van risico s. Risico-identificatie Proces waarmee risico s worden opgespoord, herkend en beschreven. Risicomatrix Een matrix waarin de kansklassen zijn uitgezet tegenover de gevolgklassen en die in een oogopslag inzicht verschaft in het risicoprofiel van het project of de organisatie. Risicomanagement Het geheel aan activiteiten en maatregelen gericht op het expliciet en systematisch omgaan met en het beheersen van risico s. Risicomanagementbeleid Verklaring van algemene bedoelingen en richting van een organisatie met betrekking tot risicomanagement. Risicomanagementcyclus Zie Risicomanagementproces. Risicomanagementproces Systematisch toepassing van beleidslijnen, procedures en werkwijzen op de activiteiten met betrekking tot communicatie, overleg, vaststelling van de context, en het identificeren, beoordelen, behandelen, monitoren en evalueren van risico s. Risicomanager Een persoon in een projectteam die het risicomanagementproces faciliteert, bewaakt en continueert onder verantwoordelijkheid van de eindverantwoordelijke van het project. Risiconiveau Omvang van een risico of combinatie van risico s, uitgedrukt als een combinatie van gevolgen en hun waarschijnlijkheid. Risicoprofiel Een maat (kwalitatief of kwantitatief) voor het geheel aan risico s van het betreffende project, proces, programma of beleidstraject. Risicoverantwoordelijke Zie Risicodrager. Risicovermindering Zie Risicobehandeling. Risicoreductie Zie Risicobehandeling. 31

Stakeholder Zie Belanghebbende. Voorzorgsmaatregel Zie Preventieve maatregel. Waarschijnlijkheid Zie Kans. 32