Permalink
PrintenPermanente link
Naar de actuele versie van de regeling
https://lokaleregelgeving.overheid.nl/CVDR758668
Naar de door u bekeken versie
https://lokaleregelgeving.overheid.nl/CVDR758668/1
Nota Risicomanagement en weerstandsvermogen 2025
Geldend van 20-03-2026 t/m heden
Intitulé
Nota Risicomanagement en weerstandsvermogen 2025Samenvatting
De Gemeente Waddinxveen heeft ambities en doelstellingen om de stad verder te brengen. Onderweg naar deze ambities krijgt Waddinxveen voortdurend te maken met nieuwe ontwikkelingen. Door de dynamische omgeving waarin gemeenten zich bewegen, horen risico’s en het inschatten en beoordelen daarvan bij het behalen van de doelstellingen. De vorige nota risicomanagement stamt uit 2017 en is verouderd.
Waddinxveen is één van de snelst groeiende gemeenten van Nederland, met veel ambitie op het gebied van woningbouw, bouw maatschappelijke voorzieningen en het voorzien in een passend zorgaanbod binnen de gemeente. Juist nu, wanneer de ambities hoog en de middelen, zoals arbeidskracht, schaars zijn is het effectief en systematisch omgaan met kansen en bedreigingen van belang. Deze nota heeft twee doelen:
- I.
Een duidelijke kader voor de toepassing van risicomanagement neerzetten;
- II.
Risicomanagement inzetten bij strategische besluitvorming.
Risicomanagement is gericht op het proactief handelen in plaats van reactief. Mocht het risico toch optreden dan is of zijn er (een) maatregel(en) bedacht om het negatieve gevolg zoveel mogelijk te beperken. Succesvolle uitvoering van risicomanagement faciliteert het maken van weloverwogen strategische keuzes en maakt ongewenste gebeurtenissen in de uitvoering of negatieve effecten voor burgers inzichtelijk, zodat deze adequaat beheerst kunnen worden. Wanneer risicomanagement goed is geïmplementeerd dan leidt dit tot risicobewustzijn, inzicht en overzicht, accuraat weerstandsvermogen, expertise en weloverwogen risicobereidheid.
Voor een goed werkende risicomanagementcyclus is uniformiteit nodig. Een duidelijk kader met uitgangspunten wordt in deze nota beschreven voor de kwantificering van risico’s, omgang met niet-financiële risico’s, verschillende invalshoeken om naar risico’s te kijken, totstandkoming van het weerstandsvermogen, sturingsinstrumenten en de verslaglegging en verantwoording van risicomanagement. Naast duidelijke uitgangspunten wordt het proces met de rol- en verantwoordelijkheidsverdeling toegelicht. Een goed beschreven proces en rolverdeling borgt de uniformiteit en draagt bij aan het inzetten van risicomanagement ten behoeve van weloverwogen besluitvorming.
Daarnaast worden drie aanbevelingen gedaan om risicomanagement nadrukkelijker in te zetten bij strategische besluitvorming:
- A.
Het koppelen van risico’s aan de doelenbomen uit de P&C producten, wat bijdraagt aan het bewuster kunnen bepalen van de risicobereidheid per doel;
- B.
Risico’s categoriseren naar incidenteel versus structureel, om het beeld voor de lange termijn inzichtelijk te maken;
- C.
Het toepassen van een scenarioanalyse voor het weerstandsvermogen, om het effect van besluitvorming op de lange termijn inzichtelijk te maken.
1 Inleiding
De Gemeente Waddinxveen heeft ambities en doelstellingen om de stad verder te brengen. Onderweg krijgt Waddinxveen voortdurend te maken met risico’s. Risico’s die het behalen van doelstellingen in de weg kunnen staan. Risicomanagement wordt ingezet om risico’s efficiënter en effectiever te beheersen.
De financiële verordening van gemeente Waddinxveen schrijft het volgende voor:
|
Artikel 20 Weerstandsvermogen en risicobeheersing (lid 3) Het college biedt, indien de actualiteit of andere omstandigheden dit vereisen, een bijgestelde Nota risicomanagement en weerstandsvermogen aan ter behandeling en vaststelling door de raad. In deze nota wordt onder andere ingegaan op het risicomanagement, het opvangen van risico’s door verzekeringen, voorzieningen, weerstandsvermogen of anderszins en het instrumentarium van beheersmaatregelen. In de nota wordt ook de gewenste minimale ratio voor de weerstandscapaciteit bepaald. |
Het huidige beleid is in 2017 opgesteld en daarmee onderhevig aan onderhoud. Door het expliciet op de kaart zetten van risicomanagement draagt bij aan het risicobewustzijn en biedt meer mogelijkheden om proactief te sturen op risico’s.
1.1 Aanleiding en ontwikkelingen
Binnen de publieke sector is er een toenemende aandacht voor de manier waarop risico’s worden beheerst. Een toenemende complexiteit van de samenleving, mondiale ontwikkelingen en macro economische effecten dwingen de gemeente tot een groter risicobewustzijn. In tijden van arbeidsschaarste is prioritering van werkzaamheden juist van belang. Om werkzaamheden te prioriteren is het zaak om strategische keuzes te maken omtrent doelstellingen die de organisatie wil behalen. Bij doelstellingen horen risico’s die de realisatie hiervan kunnen beïnvloeden. Dat vraagt om een raamwerk waarbinnen risico’s worden geïdentificeerd, beoordeeld en beheerst.
Dit raamwerk wordt ook verbonden aan de ministeriële regelingen die zijn verbonden aan het Besluit Begroting en Verantwoorden Provincies en Gemeenten (BBV). In artikel 11 van het BBV wordt voorgeschreven dat gemeenten inzage geeft in de manier waarop het weerstands-vermogen en de weerstandscapaciteit wordt bepaald. De voorliggende nota biedt een geactualiseerd antwoord op die bepalingen. Vervolgens wordt in de verplichte paragraaf weerstandsvermogen en risicobeheersing van de begroting en de jaarrekening een actueel beeld opgenomen. Op deze wijze kan jaarlijks worden gestuurd op de actualiteiten.
Het moment is nu daar om de volgende stap in de groei naar volwassenheid van risicomanagement te nemen en nieuwe ontwikkelingen op te nemen. Dit houdt een focus op strategisch risicomanagement in, waarbij risicobewustzijn en risicobereidheid onderdeel zijn van de besluitvorming. Juist nu, wanneer de ambities hoog en de middelen, zoals arbeidskracht, schaars zijn, is adequaat risicomanagement van belang. Het bewustzijn van welke risico’s het behalen van doelstellingen in de weg kunnen staan helpt bij de prioritering in besluitvorming.
Met de aanschaf van een verbreed Governance, Risk en Compliance (vGRC) management tool beschikt Waddinxveen over een instrument om gestructureerd risico’s te kunnen monitoren en beoordelen. De inrichting van deze applicatie vraagt eveneens om het aanscherpen en te actualiseren van de vorige nota naar de situatie anno 2024.
Naast adequate data zijn sturingsinstrumenten met meer aandacht voor de lange termijn van belang. Deze sturingsinstrumenten worden beschreven in deze nota. Ook is deze nota ten opzichte van de vorige nota uit 2017 kernachtiger beschreven en is een heldere rol- en procesbeschrijving toegevoegd.
1.2 Belangrijke verschillen ten opzichte van de vorige nota
Deze geactualiseerde nota komt in de basis overeen met de nota uit 2017. De belangrijkste wijzigingen:
- a.
Helderder gebruik van kengetallen en risicowaarderingen binnen het risicomanagement van Waddinxveen, rekening houdend met de mogelijkheden van het recent aangekochte vGRC-softwarepakket (verbreed Governance Risk & Compliance).
- b.
Het specifiek benoemen in college- en raadsvoorstellen van de (mogelijke) risico’s met passende beheersmaatregelen.
- c.
Aanpassing naar de meest recente inrichting van de ambtelijke organisatie en het daarbij stimuleren en vergroten van risicobewustzijn binnen de organisatie.
- d.
Het actualiseren van de gehanteerde normbedragen per risicoclassificatie, gerelateerd aan een risicokaart.
- e.
Het vaststellen van kaders voor de berekening van een scenario-analyse (MonteCarlo berekening).
1.3 Doel van de nota risicomanagement
Deze nota risicomanagement wil het kader stellen voor het inzichtelijk en beheersbaar maken van risico’s, met als doel dat zij gemanaged kunnen worden. Het hoofddoel van het actualiseren van deze nota is uniformiteit creëren bij het definiëren van risico’s en het inzetten van risicomanagement bij strategische besluitvorming. Hiermee wordt de volgende stap in het volwassenheidsniveau van risicomanagement gezet. Dat doet de nota middels de volgende punten:
- ➢
Een duidelijk kader neerzetten voor de toepassing van risicomanagement:
- ○
Hiermee wordt geborgd dat de gemeenteraad haar kaderstellende en controlerende rol op een goede manier kan uitvoeren.
- ○
Inzicht geven in wat de doelstellingen en reikwijdte van risicomanagement zijn;
- ○
Een eenduidig begrippenkader neerzetten;
- ○
De verschillende invalshoeken van risico’s presenteren;
- ○
Duidelijk maken van de rollen en verwachtingen in relatie tot risicomanagement;
- ○
Laten zien welke instrumenten (systemen, procedures en werkwijzen) worden ingezet.
- ○
- ➢
Risicomanagement in te zetten bij strategische besluitvorming:
- ○
Inzicht bieden waar risicomanagement strategisch ingezet kan worden bij besluitvorming;
- ○
Inzicht bieden in het lange termijn risicoprofiel.
- ○
Deze punten hebben met elkaar gemeen dat ze voor sturing en transparantie aan de voorkant zorgen en maken beheersing, alert en adequaat handelen mogelijk op het moment dat zich een risico voordoet.
1.4 Hoe zit de nota in elkaar?
Allereerst wordt de waarom-vraag van risicomanagement beantwoord: er wordt een kader geschetst over het begrip risicomanagement, wat het oplevert en welke randvoorwaarden er gelden. Hierna wordt beschreven hoe risicomanagement bij de Gemeente Waddinxveen wordt ingezet. De kaders voor het kwantificeren en beoordelen van het risicoprofiel worden beschreven en ook hoe de ratio van het weerstandsvermogen tot stand komt. Vervolgens wordt de manier waarop risicomanagement is ingericht uitgewerkt. De methodiek, het expliciet maken van rollen en verantwoordelijkheden en de set aan risicomanagementinstrumenten staan hier centraal. Dit is nodig om het bepalen van de risicobereidheid (“risk appetite”) te faciliteren en om risicomanagement strategisch in te zetten in het besluitvormingsproces. Deze nota sluit af met concrete aanbevelingen om de volgende stap in de groei naar volwassenheid van risicomanagement te nemen.
2 Waarom Risicomanagement
De Gemeente Waddinxveen heeft ambities en doelstellingen om de stad verder te brengen. Onderweg krijgt Waddinxveen voortdurend te maken met risico’s. Risico’s die het behalen van doelstellingen in de weg kunnen staan. Risicomanagement wordt ingezet om risico’s efficiënter en effectiever te beheersen. Het huidige beleid is in 2017 opgesteld en daarmee onderhevig aan onderhoud. Het expliciet op de kaart zetten van risicomanagement draagt bij aan het risicobewustzijn en biedt meer mogelijkheden om proactief te sturen op risico’s.
2.1 Het begrip risico(management)
Definitie: Een risico is een onzekere gebeurtenis met een kans van optreden en gevolgen voor de afgesproken doelstellingen. Dit betreft financiële maar ook niet-financiële risico’s.
Definitie: Risicomanagement is het effectief en systematisch omgaan met kansen en bedreigingen die de realisatie van organisatiedoelstellingen kunnen beïnvloeden.
Risicomanagement is gericht op proactief handelen in plaats van reactief. Mocht het risico toch optreden dan is of zijn er (een) maatregel(en) bedacht om het negatieve gevolg zoveel mogelijk te beperken. Risicomanagement houdt niet in dat koste wat kost risico’s vermeden moeten worden. Wanneer het bewust accepteren van een risico de meest optimale beheersmaatregel is, dan is dit een effectieve vorm van risicobeheersing.
Dit wordt ook wel de risicobereidheid van de organisatie genoemd. Dit begrip gaat over de risico’s die men wil aangaan om een doel te behalen en de risico’s die beheerst moeten worden. De risicobereidheid bepaalt of er een beheersmaatregel ingezet wordt voor een risico en tegen welke kosten, of dat er voor wordt gekozen om het risico te accepteren. De risicobereidheid moet expliciet gemaakt worden, zodat voor de organisatie inzichtelijk is welke principes hier gehanteerd worden, om vervolgens keuzes omtrent eventuele beheersmaatregelen te nemen.
Er is sprake van goed risicomanagement wanneer een organisatie zo optimaal mogelijk om kan gaan met de onzekerheden die onderweg voor kunnen komen. Risicomanagement is een continu proces dat voorafgaand aan en tijdens het realiseren van doelstellingen wordt ingezet.
Een risico is een onzekere ongewenste gebeurtenis waardoor het realiseren van de organisatiedoelstellingen en -strategie in gevaar komt. Daarbij is het volgende belangrijk:
- 1.
De gevolgen van een risico kunnen zowel financieel als niet-financieel van aard zijn;
- 2.
Nagenoeg elke activiteit kent risico’s. Het is praktisch ondoenlijk met alle risico’s rekening te houden;
- 3.
Er is een grote variatie in risico’s: sommige gebeurtenissen kunnen extreem grote schades veroorzaken, terwijl de kans op vóórkomen uiterst gering is (het omgekeerde komt uiteraard ook voor);
- 4.
Als de gebeurtenis geen gevolgen heeft voor het realiseren van de organisatiedoelen, dan is er ook geen sprake van een risico;
- 5.
Het missen van een kans is ook een risico.
2.2 Wat levert risicomanagement op?
Succesvolle uitvoering van risicomanagement faciliteert het maken van weloverwogen strategische keuzes. Ook maakt het ongewenste gebeurtenissen in de uitvoering of negatieve effecten voor burgers inzichtelijk zodat deze adequaat beheerst kunnen worden. Wanneer risicomanagement goed geïmplementeerd is dan leidt dit tot onderstaande voordelen:
- ➢
Risicobewustzijn: Risicomanagement draagt bij aan het vergroten van het risicobewustzijn van de organisatie. Het versterkt het vertrouwen dat de organisatie met de goede dingen bezig is, omdat er heldere prioriteiten rondom strategische risico’s zijn;
- ➢
Inzicht en overzicht: Risicomanagement biedt informatie die tot betere besluitvorming op zowel bestuurlijk als ambtelijk niveau leidt. Risico’s kunnen hierdoor explicieter worden meegewogen in de besluitvorming over nieuwe projecten of beleid;
- ➢
Weerstandsvermogen: Risicomanagement biedt duidelijkheid over de vraag of risico’s in balans zijn met het weerstandsvermogen van de gemeente;
- ➢
Expertise: Risicomanagement draagt bij aan het opbouwen van expertise om het managen van (potentiële) risico’s te verbeteren. Door risico’s met elkaar te delen in de organisatie wordt het risicobewustzijn vergroot en neemt expertise toe;
- ➢
Risicobereidheid in beeld: Risicomanagement stelt de organisatie in staat om meer inzicht te krijgen in de risico’s die men wil aangaan en de risico’s die beheerst moeten worden. Hiermee wordt de risicobereidheid explicieter gemaakt. Dit helpt bij het maken van een betere afweging omtrent eventuele beheersmaatregelen.
2.3 Wettelijk kader
Risicomanagement en het weerstandsvermogen zijn nauw met elkaar verbonden. Het doel van het hebben van weerstandsvermogen is dat er een buffer aanwezig is om de financiële tegenvallers op te vangen zodra risico’s werkelijkheid worden. Kortom: het weerstandsvermogen is het vermogen om risico’s te dekken. Het weerstandsvermogen staat in artikel 11 van het Besluit Begroting en Verantwoording provincies en gemeenten (BBV) gedefinieerd.
Artikel 11 van de BBV beschrijft generiek wat gemeenten inzichtelijk moeten maken. In het artikel staat dat het weerstandsvermogen bestaat uit de relatie tussen de weerstandscapaciteit en alle risico’s waarvoor geen maatregelen zijn getroffen en die van materiele betekenis kunnen zijn in relatie tot de financiële positie. Hoe dit concreet wordt ingevuld wordt verder aan gemeenten zelf overgelaten, de raad heeft hierbij een kaderstellende rol. Wel moet de risicoparagraaf uit de P&C producten tenminste een inventarisatie van de weerstandscapaciteit, de risico’s en het beleid omtrent de weerstandscapaciteit en risico’s bevatten.
De financiële verordening van gemeente Waddinxveen schrijft voor dat het college aan de raad aanbiedt;
(… ) , indien de actualiteit of andere omstandigheden dit vereisen, een bijgestelde Nota risicomanagement en weerstandsvermogen aan ter behandeling en vaststelling door de raad. In deze nota wordt onder andere ingegaan op het risicomanagement, het opvangen van risico’s door verzekeringen, voorzieningen, weerstandsvermogen of anderszins en het instrumentarium van beheersmaatregelen. In de nota wordt ook de gewenste minimale ratio voor de weerstandscapaciteit bepaald.
De provincie treedt op als toezichthouder en controleert of voldaan wordt aan deze eisen en of het weerstandsvermogen voldoende omvang heeft.
3 Uitgangspunten
Naast het wettelijk kader is het belangrijk om als organisatie uitgangspunten met elkaar af te spreken die gehanteerd worden bij risicomanagement. Dit is nodig om handvatten te bieden aan betrokkenen die risicomanagement uitvoeren. Het is belangrijk dat er duidelijkheid is over de manier waarop risicomanagement uitgevoerd wordt, om te voorkomen dat er verschillende interpretaties of discussie ontstaan.
3.1 Kwantificering risico’s
Voor het kwantificeren van risico’s wordt een aantal uitgangspunten gehanteerd. Deze uitgangspunten dienen voor een uniforme werkwijze bij het kwantificeren van risico’s en helpen bij het inschatten van het gevolg en de kans. De Gemeente Waddinxveen kwantificeert het netto risico, dit betekent dat bij de kwantificering rekening wordt gehouden met de beheersmaatregelen.
De kans geeft de mogelijkheid van het opdoen van het risico weer. Hoe hoger het percentage, hoe waarschijnlijker het is dat het risico zich voordoet. De kans van het opdoen van risico’s bevindt zich tussen de 10% en 90%. Risico’s lager dan 10% zijn verwaarloosbaar en worden niet meegenomen. Een uitzondering is mogelijk indien een risico een zeer hoog financieel gevolg heeft. Risico’s met een kans van 90% zijn aan zekerheid grenzend. Alle risico’s boven de 90% dienen te worden opgenomen in de begroting.
Op basis van het kanspercentage worden risico’s ingedeeld in vijf klassen. Per klasse wordt aangegeven wat de referentie is qua frequentie van het opdoen van risico’s om het kanspercentage te bepalen.
|
Klasse |
Referentiebeeld |
Percentage |
|
1. |
< 1 of 1x per 10 jaar |
10% |
|
2. |
1x per 5 - 10 jaar |
30% |
|
3. |
1x per 2 - 5 jaar |
50% |
|
4. |
1x per 1 - 2 jaar |
70% |
|
5. |
1x per jaar of > |
90% |
Voor alle risico’s wordt nagegaan welk maximaal financieel gevolg het met zich meebrengt. Ook de financiële gevolgen van een risico worden in klassen ingedeeld. Voor de beoordeling van de financiële gevolgen van een risico worden de volgende (gewijzigde) klassen met bijbehorende bandbreedtes gehanteerd. De bandbreedtes zijn opgehoogd ten opzichte van hoe deze gehanteerd werden in de risicoparagraaf van de programmabegroting en jaarrekening uit de afgelopen jaren, om beter aan te sluiten bij de omvang van de begroting van de Gemeente Waddinxveen.
|
Klasse |
Maximaal financieel gevolg |
Grondslag berekening obv begrotingsomvang circa 100 miljoen euro. |
|
0. |
Geen budgettaire consequentie |
|
|
1. |
X < € 50.000 |
<0,05% van de begroting |
|
2. |
€ 50.000 ≥ X < € 250.000 |
0,05 - 0,25% van de begroting |
|
3. |
€ 250.000 ≥ X < € 750.000 |
0,25 – 0,75% van de begroting |
|
4. |
€ 750.000 ≥ X < € 1.500.000 |
0,75 – 1,5% van de begroting |
|
5. |
X ≥ € 1.500.000 |
>1% van de begroting |
Voor elk risico dient het minimale en maximale gevolg in euro’s te worden weergegeven. Financiële gevolgen in klasse één (onder de € 50.000) worden niet meegenomen bij de berekening van het weerstandvermogen. De focus ligt op risico’s met een gevolg van boven de € 50.000, om microsturing te voorkomen. Het college legt verantwoording af omtrent risico’s en risicomanagement aan de raad. Zij doet dit twee maal per jaar door middel van de paragrafen risicobeheersing en weerstandsvermogen in de programmabegroting en de jaarrekening, die onderdeel uitmaken van de reguliere P&C cyclus. De volledige risico inventarisatie met beheersmaatregelen wordt in beide documenten in een aparte paragraaf aan de raad inzichtelijk gemaakt.
3.2 Risico’s zonder financieel gevolg
Naast risico’s met een financieel gevolg, zijn er ook risico’s zonder financieel gevolg. Dit kunnen bijvoorbeeld risico’s zijn waarbij inwoners schade kunnen ondervinden van de gevolgen. Daarnaast hebben risico’s aangaande het leefklimaat soms geen (direct) (groot) financieel gevolg, maar wel op het welzijn van inwoners. Deze risico’s kunnen onder de € 50.000 grens vallen, maar wel grote gevolgen hebben voor gestelde doelen. Ook kan het voorkomen dat een risico geen financieel gevolg heeft, maar bijvoorbeeld wel leidt tot vertraging in de uitvoering, waardoor het doel later dan wenselijk wordt behaald.
Deze risico’s en ontwikkelingen worden kwalitatief beschreven in de paragraaf risicobeheersing van de begroting en jaarrekening. Deze beschrijving bevat minimaal de volgende elementen:
|
Element |
Omschrijving |
Voorbeeld |
|
Welk risico zou zich kunnen voordoen? |
Cyberaanval |
|
Wat is de oorzaak; hoe kan dit risico zich voordoen? |
Onvoldoende wachtwoordbeleid |
|
Wat is het ongewenste resultaat van dit risico? |
Vergrendeling bedrijfskritische processen en verstoring (online) dienstverlening, verlies gevoelige data, verlies arbeidscapaciteit door inactief systeem. |
|
Welke maatregelen kan de gemeente zelf nemen om dit risico en/of de impact van het gevolg te kunnen beperken? |
Periodiek (geautomatiseerd) afdwingen wachtwoordmanagement |
3.3 Invalshoeken risico’s
Het is in het kader van sturing en beheersing van belang om risico’s vanuit verschillende invalshoeken te kunnen bekijken en die ook een helder profiel te geven. Op deze manier wordt het risicoprofiel van de Gemeente Waddinxveen op verschillende plekken onderdeel van de reguliere bedrijfsactiviteiten. Dit helpt bij het nauwkeurig inzichtelijk maken van waar Waddinxveen risico’s loopt.
Risico’s die in beeld worden gebracht zijn onderwerp van gesprek binnen managementoverleggen maar zijn ook onderdeel van planning & control documenten. Om die reden kennen in beeld gebrachte risico’s in ieder geval de volgende labels.
- I.
Programma’s
In Waddinxveen worden de risico’s altijd gekoppeld aan de programma’s. Het beleidsonderdeel van de P&C producten, zoals de begroting en het jaarverslag, zijn ingedeeld aan de hand van programma’s met bijbehorende beleidsvelden. De programma indeling is daarbij de primaire invalshoek om naar risico’s te kijken. Het koppelen van risico’s aan de betreffende programma’s leidt tot een duidelijke verbinding tussen risicomanagement en vervolgens beleidsuitvoering, wat helpt bij het maken van strategische besluitvorming.
- II.
Risicocategorie
Een veelgebruikte vorm om risico’s in te delen is het categoriseren van risico’s. Het doel van het categoriseren van risico’s is dat het een bril is waar men doorheen kan kijken om te zien welke risico’s verbonden kunnen zijn aan het realiseren van het doel. De categorisering vindt plaats op basis van het gevolg van een risico. Een juridisch risico kan een maatschappelijk gevolg hebben bijvoorbeeld. Hier wordt dan voor de categorie ‘maatschappelijk’ gekozen. Bij het kiezen van een model voor risicocategorisering is het van belang dat het aansluit bij het type organisatie. Hier zijn de categorieën en beschrijvingen overgenomen van de Gemeente Amsterdam (“Beleidsnota Risicomanagement 2022-2026”). De volgende categorieën worden daarbij gehanteerd:
- •
Financieel;
- •
Fraude en integriteit;
- •
Informatie;
- •
Juridisch;
- •
Maatschappelijk;
- •
Fysieke leefomgeving;
- •
Organisatorisch;
- •
Politiek bestuurlijk.
- III.
Doelen
Eén van de doelen die deze nota nastreeft is om risicomanagement integraal in te zetten bij strategische besluitvorming. Daarbij worden risico’s gekoppeld aan doelen uit de doelenbomen in de P&C producten. Dit helpt de uitvoerders van risicomanagement bij het identificeren van risico’s en zorgt voor integraliteit. Tevens stelt dit de raad in staat om de risicobereidheid per doel te beoordelen. De doelenboom brengt de samenhang in beeld tussen de programmadoelstellingen, de beleidsvelden en de hieraan gekoppelde doelen en prestaties met bijbehorende producten. Het koppelen van risico’s aan doelen bevordert het strategische gesprek over de risicobereidheid en het risicobewustzijn van de organisatie.
In eerste instantie helpt het koppelen van risico’s aan doelen bij de identificatiestap uit de risicomanagementcyclus. Het brengt de risico’s in beeld die van belang zijn voor de doelen die de Gemeente Waddinxveen heeft en geeft daarbij een uitgangspunt. De risico’s die aan de doelen zijn gekoppeld zijn dan ook een gevolg van de gestelde doelen en ambities. Deze worden door middel van de risicomanagementcyclus geïdentificeerd.
In tweede instantie helpt het koppelen van risico’s aan doelen bij het bepalen van de risicobereidheid. De grootte van het risico is afhankelijk van het gestelde doel en de ambities. De raad kan door middel van het aanpassen van ambities de risicobereidheid bepalen. Een hogere ambitie brengt vaak een groter risico met zich mee.
Voorbeeld:
|
Risico |
Programma |
Risicocategorie |
Doel |
|
Cyberaanval |
Slagvaardige gemeente |
Informatie, Organisatorisch |
Dienstverlening is op orde |
3.4 Het weerstandsvermogen
Het doel van het hebben van weerstandsvermogen is dat er een buffer aanwezig is om de financiële tegenvallers op te vangen zodra risico’s werkelijkheid worden, zonder daarbij direct substantiële aanpassingen te hoeven doen aan het gevoerde beleid. Kortom: weerstandsvermogen is het vermogen om risico’s af te dekken. Het berekenen van het weerstandsvermogen wordt bepaald door de relatie tussen de beschikbare weerstandscapaciteit en de benodigde weerstandscapaciteit:
|
Ratio van het weerstandsvermogen = |
Beschikbare weerstandscapaciteit |
|
Benodigde weerstandscapaciteit |
Incidenteel en structureel
Naast het koppelen van risico’s aan doelstellingen worden de risico’s ingedeeld naar of het gevolg structureel of incidenteel is. Een incidenteel risico kan een structureel gevolg hebben. Hierom is het van belang om deze categorisering op basis van het mogelijke financieel gevolg te doen. Dit houdt in dat er onderscheid wordt gemaakt tussen risico’s met een incidenteel financieel gevolg en risico’s met een structureel financieel gevolg in de meerjarenraming. Voor het college en de raad is deze informatie van belang om een juiste risico afweging te maken. Het accepteren van een risico met een incidenteel gevolg is aannemelijker dan een risico met een structureel nadelig effect. Ook geeft het een beter beeld over het risicoprofiel in het meerjarenbeeld.
Om die reden wordt binnen de weerstandscapaciteit een onderscheid gemaakt tussen incidentele en structurele weerstandscapaciteit.
|
Onderdeel |
Incidentele weerstandscapaciteit |
Structurele weerstandscapaciteit |
|
Algemene Bedrijfsreserve |
X |
|
|
Begrotingsruimte |
X |
|
|
Onbenutte belastingcapaciteit |
X |
Gemeenten kunnen in grote mate zelf bepalen hoe zij de beschikbare en benodigde weerstandscapaciteit samenstellen. De Gemeente Waddinxveen stelt de beschikbare weerstandscapaciteit gelijk aan de omvang van de algemene reserve.
- •
Bestemmingsreserves en stille reserves worden niet meegerekend in het bepalen van de beschikbare weerstandscapaciteit.
- •
De stand van de algemene reserve die het dichtst bij de peildatum van de risicoactualisatie zit wordt gehanteerd in de berekening van de ratio.
- •
Taakstellingen worden beoordeeld op haalbaarheid en uitvoerbaarheid. Wanneer deze zijn opgenomen binnen de programmabegroting worden deze afzonderlijk inzichtelijk gemaakt, maar niet gecorrigeerd bij de berekening van de weerstandscapaciteit.
De benodigde weerstandscapaciteit volgt uit de geïnventariseerde risico’s. Risico’s zijn voorzien van een kans en een mogelijk financieel gevolg. Op basis van deze gegevens wordt een risicosimulatie uitgevoerd over het risicoprofiel van de Gemeente Waddinxveen. De simulatie drukt door middel van kansberekening (bijvoorbeeld een Monte Carlo simulatie) de verschillende risico’s uit in een waarde voor het totale risicoprofiel. Bij gemeenten is een zekerheidspercentage van 90% gebruikelijk, wat betekent dat in 90% van de gevallen de weerstandscapaciteit voldoende zal zijn om de risico's op te vangen.
Risico’s met betrekking tot grondexploitaties worden integraal afgezet tegen het beschikbare weerstandsvermogen. Een eventueel aanwezige reserve grondexploitatie is de eerste buffer en de algemene reserve de tweede buffer. Wanneer er geen reserve grondexploitatie is, wordt binnen de begroting en jaarrekening onder het onderdeel “Reserves en Voorzieningen” als onderdeel van de Algemene Reserve zichtbaar gemaakt welk deel van de beklemde middelen samenhangt met risico’s voortvloeiend vanuit de grondexploitaties.
Om betekenis te geven aan de ratio van het weerstandsvermogen wordt gewerkt met een waarderingstabel. Deze indeling van waardering wordt over het algemeen toegepast door gemeenten. Daarnaast gebruikt de provincie vanuit haar rol als toezichthouder deze waardering tevens in het toetsingskader. Hier sluit de Gemeente Waddinxveen bij aan.
|
Ratio weerstandsvermogen |
Betekenis |
|
Groter dan 2.0 |
Uitstekend |
|
Tussen 1.4 en 2.0 |
Ruim voldoende |
|
Tussen 1.0 en 1.4 |
Voldoende |
|
Tussen 0.8 en 1.0 |
Matig |
|
Tussen 0.6 en 0.8 |
Onvoldoende |
|
Kleiner dan 0.6 |
Ruim onvoldoende |
De gemeenteraad van Waddinxveen stelt met dit document de norm dat zij streeft naar een ratio van minimaal ruim voldoende (1.4) .
Onvoorzien incidenteel
Artikel 8 van het BBV vraagt iedere gemeente een bedrag voor onvoorziene uitgaven op te nemen in de begroting. De omvang hiervan wordt vastgesteld door de raad.
Onbenutte belastingcapaciteit
De onbenutte belastingcapaciteit bestaat uit de extra ruimte die de gemeente heeft om, met inachtneming van de wetgeving, maximale inkomsten te genereren uit de gemeentelijke heffingen. Bij de gemeente Waddinxveen zit deze ruimte in de belastingen en met name in de onroerendezaakbelastingen (OZB). De raad is vrij de belastingtarieven te verhogen.
Om te beoordelen of er onbenutte belastingcapaciteit is, maken wij gebruik van de ruimte tussen de eigen OZB-tarieven en het redelijk peil van de OZB dat wordt vastgesteld in het kader van artikel 12 Financiële verhoudingswet (de artikel 12-norm). Jaarlijks wordt bepaald of er sprake is van onbenutte belastingcapaciteit. Deze wordt gepresenteerd in de paragraaf risicomanagement en weerstandsvermogen, maar maakt geen onderdeel uit van de berekening van de weerstandscapaciteit. De actuele normen voor dit artikel 12 – beleid worden jaarlijks in de meicirculaire van het gemeentefonds bekend gemaakt en vormen om die reden een duurzame en eensluidende norm om tot weerstandscapaciteitsberekening te komen.
3.5 Sturingsinstrumenten
Ratio van het weerstandsvermogen
Het primaire sturingsinstrument is de ratio van het weerstandsvermogen. De gemeenteraad bepaalt wat de risicobereidheid is ten opzichte van het risicoprofiel door middel van het vaststellen van een minimale ratio. Deze wordt bepaald tijdens vaststelling van de programmabegroting en jaarrekening. Hoe lager de minimale waarde van de ratio is, des te meer risicobereidheid er is. In deze nota wordt vastgelegd dat de ratio minimaal ruim voldoende is (1,4 en hoger). Indien de werkelijke ratio lager is dan de streefwaarde zijn er verschillende mogelijkheden:
- 1.
Meer maatregelen treffen zodat het risicoprofiel verminderd
- 2.
Het bijstellen van doelen en ambities;
- 3.
Meer middelen doteren aan de algemene reserve of;
- 4.
Het bijstellen van de risicobereidheid door de minimale streefwaarde te verlagen.
Wanneer de ratio hoger is dan de streefwaarde kan de algemene reserve ingezet worden om incidentele uitgaven te dekken.
Risicobereidheid naar doelen
Naast de sturing op het geheel door middel van de ratio van het weerstandsvermogen, is het door middel van de verschillende invalshoeken ook mogelijk om specifieker de risicobereidheid te bepalen. Het koppelen van de risico’s aan de doelen uit de doelenboom maakt het mogelijk om per doel te bepalen wat de risicobereidheid is. Hetzelfde geldt voor de programma’s.
Risicokaart
Er wordt gebruik gemaakt van een risicokaart voor de beheersing van risico’s met een hoge kans en groot gevolg. De risicokaart geeft de risico’s weer naar de klassen voor de kans en het financieel gevolg, zoals beschreven in paragraaf 3.1. Een voorbeeld van een risicokaart is hieronder opgenomen. De beheersing van de risico’s die in de rode en oranje vlakken van de risicokaart vallen wordt nader toegelicht in de paragrafen risicobeheersing en weerstandsvermogen van de programmabegroting en jaarrekening.
Voorbeeld: Risicokaart
Toelichting risicokaart.
In dit voorbeeld is een totaal van 59 risico’s geïdentificeerd. Afhankelijk van de kans op voorkomen en de financiële impact zijn in dit geval 15 risico’s [ oranje ] gekleurd en 1 risico [ rood ] . Het rode risico wordt als zodanig aangemerkt omdat de kans op voorkomen erg hoog is (70%) en de samenhangende financiële impact (meer dan 1,5 miljoen) substantieel is en daarmee een toprisico voor de gemeente is.
Zichtbaar koppelen van besluiten aan risico’s
Het onderdeel risico’s is een vast onderdeel van een raadsvoorstel. Niet altijd wordt de afweging van het gevolg van het desbetreffende voorstel voor het risicoprofiel zichtbaar gemaakt. Hiermee wordt de risicobereidheid van het te nemen besluit onderbelicht. In de besluitvormingsstukken dient indien van toepassing de koppeling naar risico’s altijd te worden opgenomen onder het onderdeel “kanttekeningen en risico’s”. Risico's die leiden tot een kwantitatief effect op de benodigde weerstandscapaciteit worden in de besluitvorming expliciet gemeld aan de raad. Dit wordt gedaan om inzichtelijk te maken welke risico’s in relatie staan tot het te nemen besluit, met daarbij de kans en het financieel gevolg.
Scenario analyse
Binnen het vGRC-pakket bestaat de mogelijkheid om scenario analyses en –berekeningen te maken. Deze functionaliteit kan worden ingezet bij grote besluitvormingstrajecten. Bij het verkennen van scenario’s of grote besluitvormingsprojecten met significante impact kun je deze scenario analyses gebruiken om als gemeente systematisch strategie bepalen op onvoorziene gebeurtenissen in de toekomst.
Volgens een met de opdrachtgever te bepalen Plan van Aanpak worden in één of meerdere dagdelen met een aantal betrokkenen van een project of deelproject de onzekerheden, oorzaken en gevolgen daarvan in kaart gebracht.
Het resultaat is een interne rapportage specifiek bedoeld voor grotere projecten met daarbij direct beheersmaatregelen om de risico's te verminderen. De gemeenteraad wordt via in de besluitvorming van een project, maar ook gedurende de reguliere P&C-producten over de risico’s geïnformeerd. Daarmee wordt vooraf in beeld gebracht wat de oorzaken en gevolgen zijn van risico’s en het treffen en naleven van beheersmaatregelen.
3.6 Verslaglegging en verantwoording
De paragraaf risicobeheersing en weerstandsvermogen is een verplicht onderdeel van de programmabegroting en de jaarrekening. In de paragraaf wordt de relatie tussen de beschikbare weerstandscapaciteit en de risico’s weergegeven door middel van de ratio van het weerstandsvermogen. De ratio van het weerstandsvermogen is altijd een momentopname. Dit maakt dat de paragraaf bij de jaarrekening afwijkt ten opzichte van de rest van de onderdelen van de jaarrekening. Er wordt namelijk niet teruggekeken op het afgelopen jaar, maar vooruit gekeken naar de risico’s die zich mogelijk voordoen. Dit in tegenstelling tot de insteek van de rest van de jaarrekening, waarin gereflecteerd wordt op het afgelopen jaar. In de paragraaf risicobeheersing en weerstandsvermogen wordt ook de huidige stand van het risicoprofiel en grote ontwikkelingen beschreven. Ook worden daar de sturingsinstrumenten in beeld gebracht om inzicht te bieden en als hulpmiddel om bij te sturen.
De frauderisicoscan
De verantwoordelijkheid voor het voorkomen en ontdekken van fraude ligt bij de gemeentelijke organisatie, uitgevoerd in de frauderisicoscan. Dit is de interne beheersing van regelingen die gevoelig zijn voor misbruik en oneigenlijk gebruik. Inzicht in de kwetsbare processen waar mogelijkheden bestaan om fraude te plegen is van groot belang. Een goed onderbouwde frauderisicoanalyse helpt om dit inzicht te verschaffen. Daarnaast wordt het belang dat de directie en het college hechten aan integriteit, ethisch handelen en de verantwoordelijkheid voor het vermijden en ontdekken van fraude geïllustreerd door het opstellen van een frauderisicoscan. De frauderisicoscan wordt eenmaal per twee jaar opgesteld ten behoeve van de directie. Het frauderisico wordt opgenomen en toegelicht in de paragraaf Bedrijfsvoering van de programmabegroting en jaarrekening.
De rapportage grote risicovolle projecten
De rapportage grote risicovolle projecten heeft een preventief oogmerk: de regeling draagt bij aan sturing en beheersing vooraf en tijdens het project, in plaats van controle achteraf. Deze regeling zorgt ervoor dat de opdrachtgever en de procesmanager bij de opzet en in de uitvoering van een project expliciet aandacht besteden aan onderwerpen die essentieel zijn voor een succesvol verloop, in het bijzonder de risico's en de beheersing daarvan. De rapportage wordt driemaal per jaar gedeeld met de raad, namelijk bij de kadernota en de beide bestuursrapportages (BURAP 1 en 2).
4 Proces, rollen en verantwoordelijkheden
Nu de uitgangspunten voor risicomanagement in hoofdstuk 3 uiteen zijn gezet, wordt vervolgens verder ingegaan op de betrokkenen en hun verantwoordelijkheden en bevoegdheden. Hierna volgt een procesbeschrijving van risicomanagement binnen de Gemeente Waddinxveen.
4.1 Verantwoordelijkheid- en bevoegdheidsverdeling
In het risicomanagementproces zijn veel actoren betrokken die er met elkaar voor zorgen dat er op een effectieve en systematische manier met risico’s die de organisatiedoelstellingen kunnen beïnvloeden wordt omgegaan. Kortom: die aan risicomanagement doen. Hieronder wordt beschreven welke actoren, verantwoordelijkheden en taken er in hoofdlijn betrokken zijn.
Gemeenteraad
De gemeenteraad is kadersteller en toezichthouder. Zij bepaalt het beleid en de strategie, waaronder het weerstandsvermogen. Ook is zij degene die de mate van risicobereidheid in de organisatie vaststelt, door het bepalen van doelen en de minimale streefwaarde van de ratio van het weerstandsvermogen. Middels het beoordelen en vaststellen van de aan risicomanagement verbonden paragrafen uit de P&C producten doet zij tevens aan beoordeling en toetsing van de uitvoering van risicomanagement.
College van B&W
Risicomanagement valt onder de integrale verantwoordelijkheid van het college van B&W. Het college is eindverantwoordelijk voor alle doelen, risico’s en bijbehorende acties die worden ondernomen om deze te beheersen. Dit doet zij op basis van het actuele risicoprofiel, welke door de directie bij hen aangeleverd wordt. Daarnaast legt het college van B&W verantwoording af over de uitvoering van risicomanagement aan de raad middels de P&C producten.
Directie
De directie zorgt ervoor dat risicobewustwording gemeentebreed wordt gestimuleerd. De directie laat zich informeren door de lijnorganisatie en de concerncontroller en vormt op basis van deze informatie een risicoprofiel. De directie is verantwoordelijk voor het complete risicoprofiel van de organisatie. Op basis van adviezen van de lijnorganisatie en de concerncontroller komt de directie tot prioriteiten, planning en eventuele beheersmaatregelen, en adviseert het college. De directie is eindverantwoordelijk voor het realiseren, toepassen en evalueren van de maatregel(en) binnen de ambtelijke organisatie en ziet er op toe dat deze juist en effectief zijn uitgevoerd.
Concerncontroller
De concerncontroller is verantwoordelijk voor het ondersteunen van de gehele organisatie, door op de juiste momenten verantwoordelijkheid te nemen voor het in beeld brengen van de risico’s. De Concerncontroller signaleert eventuele problemen of nalatigheid tijdig en meldt dit richting de directie. De Concerncontroller ziet er op toe dat risico’s gemeentebreed worden gesignaleerd, geanalyseerd, beoordeeld en dat de beheersmaatregel(en) voor elke afdeling en project worden uitgevoerd. Het ophalen, toezicht houden, toetsing en rapportering van risico’s in de P&C producten wordt door de Concerncontroller gecoördineerd.
Verbijzonderde Interne Controle
Dit team wordt inhoudelijk aangestuurd door de concerncontroller, waarbij zij onafhankelijk bedrijfsonderdelen helpt om risico's te identificeren, te evalueren en te beheersen. Door middel van het toetsen op opzet, werking en bestaan voert zij door middel van systematische controles uit en toetst zij gehanteerde procedures .
Afdelingsmanager
De ‘lijn’ is verantwoordelijk voor de realisatie van doelstellingen en de risico’s die hiermee samenhangen. Voor de Gemeente Waddinxveen betekent dit dat de afdelingsmanagers, verantwoordelijk zijn voor de risico’s binnen de teams. De afdelingsmanagers is de risico-eigenaar van de risico’s van die afdeling. Dit is een logische benadering, omdat risico’s zich veelal op afdelingsniveau uiten. Op dit niveau zijn risico’s dan ook vaak eerder inzichtelijk te maken. Daarnaast dienen maatregelen op dit niveau geïmplementeerd te worden.
Risicocoördinatoren
De afdelingsmanagers zijn risico-eigenaar van de risico’s uit hun afdeling. Echter, vaak zijn zij niet degene die de beheersmaatregelen uitvoeren. Degene die de beheersmaatregelen organiseren, uitvoeren en bewaken zijn de Risicocoördinatoren. De Risicocoördinatoren worden aangewezen door de afdelingsmanager. Om beheersmaatregelen te borgen is het belangrijk om Risicocoördinatoren aan te stellen.
Medewerkers
Door medewerkers actief te betrekken, kan een organisatie een proactieve en effectieve benadering van risicomanagement ontwikkelen. Door gebruik te maken van de kennis die bij medewerkers aanwezig is, kan een effectief systeem worden ontwikkeld om risico’s vroegtijdig te signaleren en passende beheersmaatregelen te treffen. Dat vraagt dat medewerkers zich bewust zijn van de omgeving waarin zij werken, de risico’s die binnen hun werkveld aanwezig kunnen zijn maar ook de gestelde kaders en richtlijnen waar zij zich aan moeten houden.
4.2 Procesbeschrijving
Zoals eerder aangegeven is het doorlopen van de risicomanagementcyclus geen eenmalige of incidentele activiteit. De wereld blijft immers in beweging, dus organisaties moeten voortdurend alert zijn op het ontstaan van nieuwe risico’s. Met andere woorden: het risicobewustzijn moet continu gevoed worden. Dat kan door risicomanagement een volwaardig onderdeel te maken van de reguliere bedrijfsprocessen binnen de organisatie.
Het ISO (bekend van de NEN normen) heeft in 2018 een (geactualiseerd) model gepubliceerd voor risicomanagement: ISO 31000. Het biedt een algemeen kader voor organisaties die risicomanagement in de meest brede zin in praktijk willen brengen. De Gemeente Waddinxveen hanteert dit kader als richtsnoer voor het interne risicomanagement proces. De acht principes van ISO 31000 zijn:
- 1.
Geïntegreerd: risicomanagement moet geïntegreerd zijn in de volledige bedrijfswerking en in alle activiteiten;
- 2.
Gestructureerd en alomvattend: het proces moet duidelijk gestructureerd en volledig ingericht zijn;
- 3.
Op maat gemaakt: het kader voor risicomanagement moet aangepast zijn aan de context en doelstellingen van de organisatie;
- 4.
Inclusief: alle (relevante) stakeholders moeten bij het risicomanagement worden betrokken;
- 5.
Dynamisch: proactief handelen, anticiperen en kordaat veranderingen aanpakken zijn cruciale elementen van goed risicomanagement;
- 6.
Best beschikbare info: risicomanagement houdt rekening met alle beperkingen van beschikbare informatie;
- 7.
Menselijke en culturele factoren: deze factoren zijn essentieel en moeten in elke fase aan bod komen;
- 8.
Continue verbetering: door ervaring en opgedane kennis moet een organisatie in staat zijn om alsmaar sterker te worden in risicomanagement.
4.3 Procesweergave
In onderstaande figuur is abstract weergegeven hoe het proces van risicomanagement binnen Waddinxveen verloopt, waarbij alle activiteiten en stappen schematisch zijn weergegeven.
4.4 Processtappenbeschrijving
Gemeenteraad - Kaderstelling en strategie
Volgens welke afspraken en uitgangspunten wordt risicomanagement uitgevoerd?
Voorafgaand aan de risicomanagementcyclus moet de gemeenteraad beleidskeuzes maken over risicomanagement: welke normen gelden er en hoe pakt de Gemeente Waddinxveen op hoofdlijnen risicomanagement aan? Dit zijn de kaders waarbinnen het college van B&W en managementteam kunnen werken. Dit kan bijvoorbeeld door het opstellen van een nota risicomanagement als deze, of de paragraaf weerstandsvermogen. Hierdoor kan worden vastgesteld wat het gewenste en geaccepteerde risicobeleid is, wat de risicobereidheid is, wat de frequentie is van informatievoorziening over de ontwikkeling van risico’s en op welke wijze periodieke inventarisatie en monitoring moet plaatsvinden.
De P&C documenten, namelijk de programmabegroting en de jaarrekening, geven periodiek weer wat de actuele stand van zaken is in dit kader en wat de voornemens zijn. Het is belangrijk dat vooraf in de kaderstelling en strategie juiste doelen met betrekking tot risicomanagement zijn geformuleerd. Dit maakt de toetsing inzichtelijker en eenvoudiger. De raad is verantwoordelijk voor de kaderstelling en strategie.
College – Sturing
Wie is eindverantwoordelijk voor de uitvoering van risicomanagement?
Het college bestuurt de organisatie volgens de kaders en strategie die de raad heeft vastgesteld. Zij is integraal verantwoordelijk voor de gehele risicomanagementcyclus van de organisatie.
Organisatie – Context
Waarover gaat de risicoanalyse en wat is het doel?
Risicomanagement is geen doel, maar een middel. Daarom is het verstandig om na te gaan wat de organisatie ermee wit bereiken, nog voordat er met dit instrument aan de slag gegaan wordt. Advies is om eerst naar de actuele context van de opdracht, project, afdeling of organisatie te kijken: wat is het doel en wat is de status? Vaak wordt al veel gedaan aan het beheersen van risico’s, impliciet en onbewust.
Nog beter is het om juist bewust met risico’s om te gaan. Niet alleen om ze te beheersen, maar ook om ze bewust te nemen. Een belangrijk onderdeel van deze stap is nagaan wat de risicobereidheid is die de organisatie wil lopen op een bepaald doel. Dit kan per doel verschillen en valt dus onder contextbepaling. Dit is vooral de verantwoordelijkheid van degenen die aan risico-identificatie doen, namelijk de directie, concerncontrol, afdelingsmanagers en risicocoördinatoren.
Organisatie - Identificatie
Wat kan Waddinxveen allemaal overkomen?
Nadat de context is bepaald kan de volgende stap gezet worden: het in kaart brengen van risico’s. Deze stap heeft tot doel een uitgebreid overzicht te verkrijgen van gebeurtenissen die het behalen van doelstellingen kunnen belemmeren of vertragen. Elk risico wordt geformuleerd als een gebeurtenis met een oorzaak en een gevolg. Om een zo breed mogelijk spectrum van risico’s te verkrijgen, is het handig om vanuit meerdere invalshoeken te kijken. Deze invalshoeken zijn beschreven in paragraaf 3.3. van deze nota. De identificatie van risico’s is een verantwoordelijkheid van de directie, concerncontrol, afdelingsmanagers en risicocoördinatoren.
Organisatie - Analyse en beoordeling
Wat zijn de grootste risico’s?
Om meer inzicht te krijgen in de geïdentificeerde risico’s, dienen zij stuk voor stuk geanalyseerd en beoordeeld te worden. Voor elk risico wordt bepaald wat de kans van optreden en de mogelijke gevolgen zijn. De omvang van een risico is dan kans x gevolg. Door risico’s op deze wijze te kwantificeren, wordt bepaald welke de meest impactvolle zijn en op welke de beheersing zich moet concentreren. Dat zijn de zogenaamde toprisico’s. Ook de stap analyse en beoordeling valt onder de verantwoordelijkheid van de directie, concerncontrol, afdelingsmanagers en risicocoördinatoren.
Organisatie - Overwegen alternatieven
Hoe kunnen de grootste risico’s beheerst worden?
Als de risico’s in kaart zijn gebracht, kan worden nagedacht over de manier waarop de risico’s zo goed mogelijk kunnen worden beheerst. Voor de goede orde: doel is niet om koste wat het kost risico’s te vermijden of te voorkomen. Doel is wel vooraf te overwegen wat er met een risico gedaan moet worden en bewuste keuzes hierin te maken. Dit is afhankelijk van de risicobereidheid op dat onderwerp.
De belangrijkste alternatieven zijn:
- •
Overdragen van risico’s:
- ○
Verzekeren
- ○
Stoppen met zelf uitvoeren (uitbesteden, inkopen)
- ○
Zelf dragen van risico’s
- ○
- •
Vermijden risico: staken van de activiteiten, doelen veranderen, schaal verkleinen
- •
Verminderen risico: treffen van beheersmaatregelen ter voorkoming (aanpak oorzaak) of beperking van het gevolg
- •
Aanvaarden risico: acceptatieniveau bepalen en risico’s die daar onder vallen accepteren.
De manier waarop er met risico’s wordt omgegaan, wordt mede bepaald door de eerder beschreven risicocriteria en risicobereidheid. Deze bepalen immers hoeveel risico het project of de organisatie kan, mag en wil lopen. Net als de vorige stappen wordt ook deze fase in de cyclus uitgevoerd door de directie, concerncontrol, afdelingsmanagers en risicocoördinatoren.
Organisatie - Uitvoeren beheersstrategie
Hoe wordt de beheersing uitgevoerd?
Voor de belangrijkste risico’s zijn de verschillende alternatieven afgewogen. Risico’s waarbij er niet voor gekozen wordt om die over te dragen, te vermijden of te accepteren, zullen op de een of andere manier door de organisatie zelf moeten worden beheerst. Hiervoor zijn diverse beheersmaatregelen bedacht. Hierbij zijn twee vragen van belang:
- I.
Wie gaat het risico beheersen? (Wie wordt de risico-eigenaar?)
- II.
Hoe wordt de uitvoering aangepakt? (Wie wordt de risico-actiehouder?)
De beheersing is een verantwoordelijkheid van de risico-eigenaar, dit is vaak een afdelingsmanager. De directie, concerncontrol en risicocoördinatoren zijn hier ook betrokken.
Organisatie – Evaluatie
Wat is er veranderd en wat zijn de leerpunten?
De context is bepaald, risico’s zijn geïdentificeerd en beoordeeld en voor de toprisico’s zijn passende beheersmaatregelen genomen. Het is goed om op gezette tijden terug te kijken om beter vooruit te kunnen kijken. Hierdoor wordt het risicobewustzijn van de organisatie verder aangescherpt. Om risicobewust te kunnen handelen, moeten betrokkenen voortdurend ‘gevoed’ worden. Vandaar dat de cyclus ook een evaluatiemoment bevat. De evaluatie betreft zowel het proces van risicomanagement als de inhoudelijke resultaten. De risicomanagers zijn voornamelijk verantwoordelijk voor de evaluatie en het bewustzijn van risicomanagement.
College - Verantwoording via de P&C cyclus
Het college legt verantwoording af omtrent risico’s en risicomanagement aan de raad. Zij doet dit twee maal per jaar door middel van de paragrafen risicobeheersing en weerstandsvermogen in de programmabegroting en de jaarrekening, die onderdeel uitmaken van de reguliere P&C cyclus.
Gemeenteraad - Toezicht en toetsing
De raad houdt toezicht op de uitvoering van risicomanagement binnen de organisatie door de paragrafen risicobeheersing en weerstandsvermogen uit de P&C documenten die zij van het college aangeboden krijgt te beoordelen. Naast de raad als toezichthouder beoordelen ook de provincie en accountant de paragrafen risicobeheersing en weerstandsvermogen vanuit hun rol als toezichthouder.
Ondertekening
Ziet u een fout in deze regeling?
Bent u van mening dat de inhoud niet juist is? Neem dan contact op met de organisatie die de regelgeving heeft gepubliceerd. Deze organisatie is namelijk zelf verantwoordelijk voor de inhoud van de regelgeving. De naam van de organisatie ziet u bovenaan de regelgeving. De contactgegevens van de organisatie kunt u hier opzoeken: organisaties.overheid.nl.
Werkt de website of een link niet goed? Stuur dan een e-mail naar regelgeving@overheid.nl