Beleidsnota Risicomanagement 2025

Organisaties worden steeds vaker worden geconfronteerd met onzekere externe en interne invloeden waardoor het realiseren van de doelstellingen lastiger wordt. Het is daarom van belang om zicht te hebben op risico’s. Het moderne risicomanagement heeft de traditionele definitie van risico verbreedt met waarde-creatie. Hierdoor wordt risicomanagement positiever gepositioneerd waarbij het gaat om het benutten van kansen en het beheersen van daarbij horende risico’s.

Voor de ontwikkeling en implementatie van risicomanagement is alleen het in kaart brengen van de mogelijke risico’s niet voldoende. Om risicomanagement te doen slagen is het belangrijk dat de gehele organisatie het belang en de meerwaarde inziet van risicomanagement. We spreken hier van integraal risicomanagement; hetgeen onderdeel is van integraal management.

Integraal

Integraal risicomanagement is de nieuwe manier van denken over risico’s, kansen en onzekerheden. Het is een brede invulling van risicomanagement, waarbij niet alleen de (wettelijke) kaders worden gevolgd, maar het risicobewustzijn breder wordt gestimuleerd. Risicomanagement is niet langer een afzonderlijke activiteit, maar maakt integraal deel uit van alle processen. Bij integraal risicomanagement richt de organisatie zich niet alleen op financiële risico’s, maar juist ook op andere typen risico’s op alle niveaus. Voorbeelden van niet-financiële risico’s zijn privacy risico’s, misbruik- en oneigenlijk gebruik, ondermijning, imago- en niet-financiële frauderisico’s.

Voor de gemeente Deventer betekent het dat zij zich daarbij niet alleen beperkt tot de eigen organisatie, maar kijkt ook naar haar externe omgeving. Risicomanagement behoort tot de verantwoordelijkheden van het management op alle niveaus in de organisatie en is bewust en onbewust aanwezig bij alle medewerkers in de organisatie. Het is van belang dat de directie en college zijn betrokken bij de identificatie en prioritering van aan de strategie verbonden risico’s.

Cyclisch

Daarnaast is risicomanagement een cyclisch proces. Het gaat om de regelmatige actualisatie van risico’s en van de beheersmaatregelen, de analyse, evaluatie en bijstelling. Risicomanagement moet geïntegreerd worden in de governance en de planning en control van de organisatie. Dit document vormt het risicomanagementbeleid voor de gemeente Deventer.

Doel van risicomanagement

Het doel van risicomanagement is het ondersteunen van doelstellingen door bewust om te gaan met risico's waardoor kansen benut kunnen worden. Risicomanagement houdt de organisatie niet tegen in het nemen van risico’s. Juist het tegenovergestelde; het stelt ons in staat om meer bewuste risico’s te nemen en meer resultaten te boeken dan organisaties met een minder effectief risicomanagement. Het verheldert risicobereidheid en versterkt het scenario denken.

Met risicomanagement willen wij:

• •

  De risicobereidheid van de organisatie vergroten zodat wij meer risico’s durven te nemen. Dit moet passen binnen datgene wat organisatie kan dragen (risico capaciteit) en datgene wat we toestaan (risicotolerantie). En leiden tot de juiste balans tussen risico’s nemen en beheersen

• •

  Het intern bespreken van de kwetsbaarheden van de hele organisatie en het krijgen van meer begrip voor elkaars meningen en percepties.

• •

  Prioriteiten stellen; door risicogestuurd te werken komt meer focus en aandacht op daar waar het echt om gaat

• •

  Voorspelbaarheid van realisatie doelen te vergroten, door onzekerheden expliciet mee te nemen en te gebruiken voor focus en beheersing.

• •

  De organisatie weerbaar maken zodat we tegen een stootje kunnen.

• •

  Beter onderbouwd keuzes maken met betrekking tot kosten, prestaties en risico’s. Daarnaast versterkt dit het scenario denken.

• •

  Tot slot zorgt risicomanagement voor alertheid. Door periodiek te spreken over de strategische onzekerheden en ontwikkelingen (vooral door externe risico’s) wordt voorkomen dat men te veel in de eigen waarheden gaat geloven. Hierdoor blijft men alert op bijvoorbeeld externe ontwikkelingen en wat dit betekent voor de gekozen strategie.

Voor een succesvolle toepassing van risicomanagement is het belangrijk om uitgangspunten te bepalen. Deze uitgangspunten zijn bepalend voor de cultuur en houding van de organisatie ten aanzien van risicomanagement. Een goed functionerend risicomanagementsysteem gaat uit van de juiste uitgangspunten, is gebaseerd op risicomanagementbeleid en bestaat uit het continu doorlopen van het risicomanagementproces.

Het kader voor de beheersing van de risico's van de gemeente Deventer is gebaseerd op ISO31000:2019. Dit ‘Risk Control Framework’ van de International Organization for Standardization (ISO) kent een praktische uitwerking, passend op de organisatie.

De keuze voor ISO ten opzichte van andere modellen is ingegeven door de praktische toepassing, de koppeling naar strategische doelen en omdat deze passend is op de totale organisatie. Ook kent het ISO model specifieke aandacht voor het noodzakelijke leiderschap en commitment van bestuur en management. Het ISO kader bestaat uit drie hoofdonderdelen. Het beheer van risico's is gebaseerd op de uitgangspunten, beleid en proces zoals weergeven in de onderstaande afbeelding.

2.1. Uitgangspunten voor risicomanagement

De principes vormen het fundament (bouwstenen) waarop risicomanagement moet zijn gebaseerd, wil het een positieve bijdrage leveren aan het functioneren van de organisatie. De principes geven richtlijnen over de kenmerken van effectief en efficiënt risicobeheer, het communiceren van de waarde ervan en het uitleggen van de intentie en het doel ervan.

Deze principes voor organisatiemanagement moeten de organisatie in staat stellen de effecten van onzekerheid op haar doelstellingen te beheersen. De principes zijn:

Geïntegreerd

Het is een integraal onderdeel van de gemeentelijke bedrijfsprocessen en is overal aanwezig, op alle organisatieniveaus en onderliggende gemeentelijke bedrijfsprocessen.

Gestructureerd en begrijpelijk

Het is gestructureerd, begrijpelijk en wordt tijdig toegepast op de actuele situatie.

Op maat gesneden

Het risicomanagement is aangepast aan de context en doelstellingen binnen de organisatie en de betreffende organisatie onderdelen.

Inclusief

Alle belanghebbenden zijn betrokken, hun kennis, opvattingen en percepties worden in overweging genomen door het voeren van een risicodialoog.

Dynamisch

Wanneer de interne of externe context van de organisatie verandert, kunnen risico’s ontstaan, veranderen of verdwijnen. Proactief handelen, anticiperen op risico en veranderingen goed en correct aanpakken is hierbij het devies.

Beste beschikbare informatie

Van alle beschikbare historische informatie, actuele informatie en toekomstverwachtingen wordt gebruik gemaakt. Met alle beperkingen van beschikbare informatie wordt rekening gehouden, zodat de best beschikbare informatie wordt gehanteerd.

Menselijke en culturele factoren

Er wordt rekening gehouden met de menselijke en culturele omstandigheden die invloed hebben op het uitvoeren van het risicomanagement.

Voortdurende verbetering

Het risicomanagement wordt continue verbeterd door leren en ervaring. Het risicomanagement faciliteert voortdurende verbetering van de organisatie.

2.2 Beleid raamwerk

Het doel van het raamwerk voor risicomanagement is de organisatie te helpen risicomanagement in belangrijke activiteiten en functies te integreren. De doeltreffendheid van risicomanagement hangt daarvan af. Dit vereist draagvlak vanuit belanghebbenden en leiderschap en commitment van directie, management en bestuur.

Het risicomanagementbeleid is de basis voor het verankeren van risicomanagement op alle niveaus in de organisatie en vormt het kader waarbinnen risicomanagement wordt uitgevoerd. Het beleid is gestoeld op de uitgangspunten van risicomanagement en wordt gemonitord door een te vormen kernteam risicomanagement met een vertegenwoordiging uit verschillende onderdelen van de organisatie. Het raamwerk bestaat uit de volgende onderdelen:

Leiderschap en commitment

Het risicomanagement is dienend aan goed openbaar bestuur. Daarmee stellen Raad, College en Organisatie zich ten doel publieke waarde te creëren, te dienen en te beschermen.

Het risicomanagement is niet alleen instrumenteel. Het is een samenspel van beslissers, uitvoerders en adviseurs. Daarbij is een heldere verdeling van rollen en verantwoordelijkheden noodzaak. De bestuurlijke rollen zijn als volgt verdeeld:

• •

  De raad stelt de kaders en uitgangspunten voor het uitvoeren van risicomanagement.

• •

  De wethouder Financiën is verantwoordelijk voor het stelsel van risicomanagement.

• •

  Het college is inhoudelijk verantwoordelijk voor het risicomanagement in hun toegewezen portefeuilles.

Het college en directie zijn verantwoordelijk voor het ontwikkelen, implementeren en in stand houden van risicomanagement.

Het college is verantwoordelijk voor het geheel van het risicomanagement. Deze stelselverantwoordelijkheid houdt in dat de wethouder Financiën verantwoordelijk is voor en toeziet op het systematisch functioneren van het risicomanagement. Onder meer door het zorgdragen voor overkoepelend beleid, beschikbaar stellen van middelen en systemen voor risicomanagement en toezien op verantwoording van het gevoerde beleid in begroting, rapportages en jaarrekening.

Inhoudelijke verantwoordelijkheid houdt in dat college en directie erop toezien dat:

• •

  Risicomanagement wordt toegepast in de voorbereiding van de besluiten die zij het college voorleggen. Wanneer er risico’s zijn behoren die duidelijk en transparant bij een besluit te worden toegelicht en voorzien van beheersmaatregelen.

• •

  Risicomanagement wordt toegepast in de uitvoering binnen hun respectieve portefeuilles.

• •

  Verantwoording plaats heeft over het gevoerde beleid met een inhoudelijke bijdrage aan de begroting, voorjaarsnota, najaarsnota en jaarrekening en in bestuurlijke rapportages.

Integratie

• •

  Het integreren van risicomanagement in de organisatie is een dynamisch en iteratief proces en wordt aangepast aan de behoeften en cultuur van de organisatie.

• •

  Risicomanagement is een onderdeel van governance, leiderschap en commitment, strategie, doelstellingen en operationele bedrijfsactiviteiten van de organisatie en behoort daar niet los van te staan.

Ontwerp

• •

  Het bestuur en de directie communiceren het belang van risicomanagement door het formuleren van beleid, door het toepassen van een risico raamwerk binnen de organisatie. Het raamwerk dient duidelijk de doelstellingen en inzet van een organisatie voor risicomanagement te omschrijven.

• •

  Het bestuur zorgt ervoor dat de rollen, verantwoordelijkheden en bevoegdheden gerelateerd aan risicomanagement helder zijn gedefinieerd. Deze worden op alle niveaus van de organisatie toegewezen en gecommuniceerd.

• •

  Het bestuur en de organisatie stellen de frequentie en overlegstructuur vast om het risicomanagementkader te ondersteunen en de effectieve toepassing van risicomanagement te vergemakkelijken.

• •

  Het bestuur zorgt ervoor dat de benodigde middelen voor risicomanagement worden toegewezen.

• •

  Het bestuur heeft voldoende inzicht in het risicomanagement van de organisatie. College en directe geven dit inzicht.

• •

  De eerste, tweede en derde lijn sluiten goed op elkaar aan en vormen effectieve verdedigingslinies, waarin keuzes omtrent onzekerheden worden afgewogen en gemaakt.

Implementatie en uitvoering

• •

  Het management is zelf verantwoordelijk voor het managen van de risico's binnen de primaire processen. Risicomanagement is een kernverantwoordelijkheid.

• •

  Het risicomanagementproces moet een integraal onderdeel zijn en geïntegreerd zijn in de organisatie. Het dient te worden toegepast op strategisch, operationeel, programma- of projectniveau.

• •

  Een gemeenschappelijk risicomanagementinfrastructuur ondersteunt de organisatie(onderdelen) bij het vastleggen van risicomanagement.

• •

  De tweedelijns en derdelijns control ondersteunen aantoonbaar het organisatie brede risicomanagement en dragen zorgen voor het inrichten van communicatie en advisering over risicomanagement.

Evaluatie

Om de effectiviteit van het risicomanagementkader te evalueren, moet de organisatie periodiek monitoren, evalueren en bepalen of deze nog geschikt is voor het bereiken van de doelstellingen van de organisatie.

Verbeteren

De organisatie monitort voortdurend het risicomanagement raamwerk en past als lerende organisatie aan daar waar noodzakelijk. Daarbij kan de organisatie haar waardecreatie continu verbeteren.

2.3. Proces

Risicomanagement is een cyclisch (continu) proces. Het nadenken over en beoordelen van mogelijke risico’s, en de implementatie en optimalisatie van beheersmaatregelen moeten onderdeel zijn van de dagelijkse praktijk van de organisatie.

Het risicomanagementproces bevat de systematische toepassing van beleid, procedures en werkwijzen van het risicomanagement. Een risicomanagement-proces start altijd met het vaststellen van reikwijdte, context en criteria. In het proces is communicatie en consultatie met belanghebbenden verankerd en wordt het monitoren en beoordelen van risico geborgd.

ISO 31000 richtlijn is geen ‘one size fits all’. Er is ruimte voor proportionaliteit. Dat wil zeggen dat organisatieonderdelen met een hoog risicoprofiel en groot belang voor het goed functioneren van onze organisatie het risicomanagement zwaarder aanzetten dan onderdelen waar dat minder het geval is.

Definitie van risico

• •

  Een risico is het effect van onzekerheid op het realiseren van onze doelstellingen. Met effect wordt een afwijking ten opzichte van de verwachtingen bij een doelstelling bedoeld. Dit effect kan positief of negatief zijn, het resultaat is een kans of bedreiging voor de doelstelling.

• •

  Een risico drukken we uit in een mogelijke gebeurtenis, we benoemen de oorzaken en gevolgen voor de gemeente. We koppelen aan risico de kans van optreden binnen een periode van twee jaar.

Soort risico’s

Bij risico maken we onderscheid tussen strategisch risico, extern risico en operationeel risico. Door dit onderscheid te maken kan de keuze voor het juiste handelingsperspectief beter worden gemaakt.

• •

  Strategisch: risico’s die wij nemen om onze doelen te realiseren. Hier past ‘principe gebaseerd’ risicomanagement dat is gericht op de dialoog met belanghebbenden en inhoudelijk advies aan het bestuur.

• •

  Extern: risico’s van buitenaf waar we niet of nauwelijks invloed op kunnen uitoefenen. De focus ligt op risico-identificatie en het mitigeren van de gevolgen. Hier past scenarioanalyse, planning en crisisorganisatie.

• •

  Operationeel: risico’s die vanuit de organisatie ontstaan en beheersbaar zouden moeten zijn, zogenoemd ‘regelgericht’ risicomanagement

Gezichtspunten

Er wordt gekeken vanuit het uitgangspunt integraal risicomanagement gekeken vanuit verschillende gezichtspunten (niet limitatief):

• •

  Financieel

• •

  Juridisch

• •

  Maatschappelijk

• •

  Fraude, integriteit, misbruik & oneigenlijk gebruik

• •

  Organisatorisch

• •

  Politiek bestuurlijk

Definitie van risicomanagement

Risicomanagement is het geheel van gecoördineerde activiteiten om de gemeentelijke organisatie te sturen en te beheersen met betrekking tot risico’s. En daarover te communiceren met stakeholders.

Het risicomanagementproces bestaat uit de volgende onderdelen:

Communicatie en consultatie

Om belanghebbenden te helpen bij het begrijpen van risico's, de basis waarop beslissingen worden genomen en de redenen waarom specifieke acties nodig zijn. Deze communicatie en consultatie zorgt ervoor dat in alle stappen van het risicomanagementproces feitelijke, tijdige, relevante, nauwkeurige en begrijpelijke informatie aanwezig is en uitgewisseld wordt om de juiste overwegingen te maken, besluitvorming te verkrijgen en betrokkenheid en eigenaarschap te creëren.

Reikwijdte, context en criteria

Het formuleren van de uitvoeringskaders in het risicomanagementproces voor een effectieve risicobeoordeling en risicobehandeling in de organisatie en de bedrijfsprocessen. Deze wordt opgesteld door het college op basis van de uitgangspunten in deze beleidsnota en geeft richting aan het uitvoeren van het risicomanagement en de risicomanagementstappen in de praktijk.

Risicobeoordeling

Het totale proces van risico-identificatie, risicoanalyse en risico-evaluatie. Door het kwantificeren van de risico’s worden deze concreter omschreven. Het voornaamste doel hiervan is een ordening aan te brengen om te bepalen welke mate van focus in sturing en beheersing van belang is. Een ander doel is het bepalen van de financiële omvang van het risico, om de effecten van beheersmaatregelen te ramen en om het weerstandsvermogen van de gemeente te kunnen inschatten.

Risico-identificatie

Het vinden, herkennen en beschrijven van risico's die kunnen helpen of voorkomen dat een organisatie haar doelstellingen bereikt.

Deze stap heeft tot doel een beeld te krijgen van de gebeurtenissen die het behalen van doelen kunnen belemmeren of vertragen, maar ook om kansen die leiden tot het overtreffen van de verwachtingen. Het gaat erom inzicht te krijgen in een zo breed mogelijk spectrum aan risico’s. De doelstellingen en processen moeten daarom vanuit meerdere invalshoeken worden bekeken. Hiertoe wordt een risicodialoog georganiseerd. Risico’s worden op alle niveaus geïdentificeerd. Ook bij externe partijen zoals onze verbonden partijen.

Risicoanalyse

De aard van het risico, de kenmerken en het risiconiveau begrijpen. Het omvat een gedetailleerde afweging van onzekerheden, risicobronnen, gevolgen, waarschijnlijkheden, gebeurtenissen, scenario's, controles en de effectiviteit ervan. De te hanteren uitgangspunten zijn opgenomen in paragraaf 2.4.

Risico-evaluatie

Het ondersteunen van beslissingen en omvat het vergelijken van de resultaten van de risicoanalyse met de vastgestelde risicocriteria om te bepalen waar aanvullende maatregelen nodig zijn.

Risicobehandeling

Het selecteren en implementeren van opties (beheersmaatregelen) voor het aanpakken van risico's.

Monitoring en beoordeling (evaluatie)

Het omvat het plannen, verzamelen en analyseren van informatie, het vastleggen van resultaten en het geven van feedback.

Registratie en rapportage

De controle en de rapportage moeten in alle fasen van het proces plaatsvinden. Rapportage is een integraal onderdeel en moet de kwaliteit van de dialoog met belanghebbenden verbeteren en bestuur en directie ondersteunen bij het nakomen van hun verantwoordelijkheden.

Hiervoor is het noodzakelijk om een standaard risicotaal (of framework/ taxanomie) te hanteren en de organisatieonderdelen de vastlegging, monitoring, evaluatie, bijstelling conform deze standaard risicotaal uit te laten voeren. Dit wordt in de uitvoeringsnota verder uitgewerkt.

Risicodialoog

Het proces van integraal risicomanagement is cyclisch en sluit aan op de planning- en control-cyclus. Om tot een goede borging te komen van integraal risicomanagement vindt er een aantal keer per jaar een risicodialoog plaats in de verschillende organisatieonderdelen. De risicodialoog heeft tot doel inzicht te geven in de risico’s en het risicobewustzijn te versterken. Uitgangspunt van de risicodialoog is altijd dat dit een open gesprek is met als doel het gezamenlijk bepalen van een constructieve risico-aanpak.

2.4. Risicoanalyse - te hanteren uitganspunten

Risico’s kunnen in verschillende klassen worden ingedeeld. In onderstaande tabellen is weergegeven hoe de risico’s ingedeeld worden. Om de risico’s te classificeren wordt gebruik gemaakt van de factoren waarschijnlijkheid en de verwachte impact.

Waarschijnlijkheid (Kans)

1) Bij voorkeur de specifiek aangegeven inschatting.

• •

  Zeer klein: risico’s waarvan het onwaarschijnlijk is dat ze zich in het komende jaar daadwerkelijk voor zullen doen. Het zijn risico’s die zich slechts 1 keer in de 20 jaar voordoen of aan risico’s waarvan de kans op optreden erg laag is (<5%).

• •

  Klein: risico’s waarvan het niet zo waarschijnlijk is dat ze zich in het komende jaar daadwerkelijk voor zullen doen. Het zijn risico’s die zich 1 keer in de 4 jaar voordoen of risico’s waarvan de kans op optreden laag is (5-25%).

• •

  Niet klein/niet groot: risico’s die nog beide kanten op kunnen. Het kan zijn dat ze zich komend jaar voordoen, het kan ook zijn van niet. Het zijn risico’s die zich 1 keer in de 2 jaar voordoen of risico’s waarvan de kans op optreden gemiddeld is (25-50%).

• •

  Groot: risico’s waarvan het waarschijnlijk is dat ze zich voor zullen doen in het komende jaar, of risico’s waarvan de kans op optreden groot is (50-75%).

• •

  Zeer groot: risico’s waarvan het zeer waarschijnlijk is dat ze zich komend jaar daadwerkelijk voor zullen doen of risico’s waarvan de kans op optreden zeer groot is (75-90%).

Verwachte impact (Gevolg)

De verwachte impact wordt berekend door de maximale impact in te schatten, de effecten van (beheers)maatregelen die invloed hebben op de impact daarvan af te trekken. Zo blijft een ‘restrisico’ over.

Voor risico’s met een meerjarig potentieel gevolg wordt de impact voor minimaal 2 en maximaal 4 jaar gebruikt voor de analyse. Dit is afhankelijk van de mate van beheersing van de kans, beïnvloeding van de impact en flexibiliteit van de begroting.

In onderstaande tabel is zichtbaar gemaakt hoe een risicoscore (kans * impact) wordt ingeschaald. Risico’s in de groene vlakken worden als laag ingeschaald. Deze risico’s zijn wel in beeld maar vragen geen extra aandacht. De risico’s die hoog worden ingeschaald (oranje en rood) vragen wel extra aandacht.

Een lage indeling wil niet zeggen dat er geen beheersmaatregelen genomen moeten worden. Afhankelijk van de kosten van de beheersmaatregelen zal een keuze gemaakt worden of deze geïmplementeerd moeten worden. Voor strategische risico’s in de hoge risicoklasse zal altijd actief risicomanagement ingezet moeten worden, om de kans van optreden en de impact te verlagen.

Risicoscore

3.1 Het proces van financieel risicomanagement

Naast de reguliere risicomanagementprocessen in de gemeentelijke organisatie vindt tweemaal per jaar, bij begroting en jaarrekening, een inventarisatie plaats van het resterend risico. Resterend risico is niet meer redelijkerwijs op te vangen binnen de programma’s en kan tot een negatief rekeningresultaat leiden. De inventarisatie vindt plaats conform artikel 11 van het Besluit begroting en verantwoording provincies en gemeenten (BBV) die de medeoverheden verplicht om een inventarisatie te maken van de risico’s en het weerstandsvermogen. Deze wordt gebruikt om te beoordelen of de gemeente in staat is haar risico’s te dragen. In de paragraaf weerstandsvermogen van de begroting en het jaarverslag wordt gerapporteerd over de actuele risico’s en het weerstandsvermogen.

3.2 Paragraaf weerstandsvermogen

De paragraaf geeft aan hoe robuust de begroting is. Met het aanhouden en hebben van aandacht voor het weerstandvermogen kan worden voorkomen dat substantiële risico’s dwingen tot extra bezuinigingen en/of noodzaken tot een bijstelling van beleid of de uitvoering taken. Deze paragraf bevat minstens een inventarisatie van de weerstandscapaciteit en de risico’s. In de financiële verordening (art. 22) is daaraan toegevoegd dat in de paragraaf ook informatie wordt opgenomen over het risicomanagement-proces, de wijze van bepalen van de bestanddelen van de beschikbare weerstandscapaciteit, de wijze van bepalen van de benodigde weerstandscapaciteit, de bepaling van het weerstandsvermogen en de mate van toereikendheid daarvan en de beleidsgevolgen en de maatregelen die het college voorstelt bij een overschot dan wel tekort aan weerstandsvermogen.

3.3. Weerstandsvermogen

Het weerstandsvermogen bestaat uit de relatie tussen:

• •

  De beschikbare weerstandscapaciteit: de middelen en mogelijkheden waarover gemeente beschikt of kan beschikken om niet begrote kosten te dekken.

• •

  De benodigde weerstandscapaciteit: alle risico's waarvoor geen maatregelen zijn getroffen en die van materiële betekenis kunnen zijn in relatie tot de financiële positie.

De direct beschikbare weerstandscapaciteit is de Algemene reserve.

3.4 Berekening van de weerstandscapaciteit

De weerstandscapaciteit zijn de middelen die kunnen worden ingezet om de financiële gevolgen van opgetreden risico’s op te vangen. Deventer rekent de volgende componenten tot de beschikbare weerstandscapaciteit:

• 1.

  De algemene reserve. Dit is het deel van het vrije vermogen waaraan de raad nog geen bestemming heeft gegeven.

• 2.

  Onbenutte begrotingscapaciteit zijn delen van de begrote lasten waarvoor nog geen bestemming is. Dit zijn de posten onvoorzien en de stelposten zonder bestemming (bijvoorbeeld de stelpost autonome ontwikkelingen).

3.5 Benodigde weerstandscapaciteit

De risico’s die een beslag leggen op de benodigde weerstandscapaciteit worden conform de beschreven risicoanalyse geïnventariseerd.

Risico’s worden twee keer per jaar geïnventariseerd.

De momenten worden gekoppeld aan de voorbereiding op de begroting en in het begin van het jaar voor de jaarrekening en perspectiefnota. In deze inventarisatie wordt de kans en de het mogelijke gevolg (impact) geraamd, zoals beschreven in hoofdstuk 3. De risico’s die opgenomen worden zijn risico’s waarvoor geen maatregelen zijn getroffen en die van materiele betekenis kunnen zijn in relatie tot de financiële positie. Onzekerheden en verzekerde risico’s worden niet meegenomen.

Berekening van de omvang van de benodigde weerstandscapaciteit

Het is vrijwel zeker dat niet alle risico’s zich tegelijkertijd zullen voordoen, of dat ieder risico zich in maximaal geschatte omvang zal voordoen. Om deze overschatting te voorkomen, maken we gebruik van de Monte Carlo simulatiemethode. De Monte Carlo simulatie is een techniek waarbij rekening wordt gehouden met de kans van tegelijk optredende risico’s.

De Monte Carlo simulatie wordt uitgevoerd met een zekerheidspercentage van 95%. Dat betekent dat in 5% van de theoretische scenario’s de financiële gevolgen van de werkelijk opgetreden risico’s boven de berekende waarde uitkomt.

Onzekerheden kunnen niet gekwantificeerd worden, zoals economische recessies en veranderende wetgeving. Deze ontwikkelingen kunnen invloed hebben op bijvoorbeeld het gemeentefonds, waarde vastgoed, verbonden partijen, garantstellingen. Deze zijn geen afgebakend risico maar voor de sturing van de organisatie wel van belang. Hiervoor wordt een vast bedrag aangehouden, een buffer, en deze bedraagt 50% van de berekende benodigde weerstandscapaciteit.

Rapportage / meldingsplicht

Risico’s met een totaalscore van 9 en hoger worden in een risicokaart opgenomen en toegelicht.

De risicoscore wordt gebaseerd op de score van de kans en de impact. De waarden worden vermenigvuldigd om tot een totale risicoscore te komen, bij een score van 3 voor kans en 4 voor impact is de totaalscore 12. Zie hiervoor tabel ‘Risicoscore’ in paragraaf 2.4.

3.6 Ratio weerstandsvermogen

In het ratio weerstandsvermogen wordt de weerstandscapaciteit en de risico’s tegen elkaar afgezet, waarmee het een indicator is in hoeverre Deventer in staat is om risico´s op te vangen. De weerstandsratio wordt als volgt berekend:

Beschikbare weerstandscapaciteit = Algemene reserve

Benodigde weerstandscapaciteit = Uitkomst Monte Carlo (alle risico’s o.b.v. kans en impact) + buffer van 50%

Op basis van de uitgangspunten is de te hanteren ratio weerstandsvermogen daarmee 1,5.

Voor de weging van de uitkomst is de volgende indeling een richtlijn:

3.7 Relatie weerstandscapaciteit en Algemene reserve

De benodigde weerstandscapaciteit is onderdeel van de Algemene reserve. De ratio van 1,5 is ook de ondergrens van de Algemene reserve, Een hogere ratio kan en mag. Over de ruimte boven de 1,5 kan binnen de grenzen van het beleid rond ‘reserves en voorzieningen’ beschikt worden. Bij een ratio onder de 1,5 dient de Algemene reserve aangevuld te worden.

• 1.

  Bij elk college en raad besluit worden samenhangende risico’s en onzekerheden vermeld met de te treffen beheersmaatregelen.

• 2.

  Risico’s worden uitgedrukt als gebeurtenissen met een kans van optreden en geschatte gevolgen. De gevolgen kunnen financieel en niet-financieel zijn.

• 3.

  Risico’s worden voorzien van een risicoanalyse vastgelegd in het risicomanagementsysteem en minimaal bij begroting en jaarrekening geactualiseerd. Risico’s worden conform de ISO 31000 richtlijn beschreven.

• 4.

  Voor risico’s wordt het gevolg zoveel mogelijk gespecificeerd naar het jaar waarin deze naar verwachting kan optreden.

• 5.

  Risico wordt zo veel als redelijkerwijze mogelijk binnen het begrotingsprogramma opgevangen.

• 6.

  Wanneer zich buiten de cyclus om substantiële ontwikkelingen voordoen dan geldt een actieve informatieplicht. Substantieel wil zeggen:

  • •

    Nieuw risico met risicoscore 15 of hoger (financiële impact > € 500.000)

  • •

    Bestaand risico stijgt naar 15 of hoger (stijging potentiële impact naar € 500.000 of hoger)

• 7.

  Risico’s met een totaalscore van 9 en hoger worden in een risicokaart opgenomen en toegelicht in de jaarverslaglegging en begroting. Risico’s met een score van 15 en hoger worden direct aan directie en bestuur gemeld.

• 8.

  Een risico is resterend wanneer er geheel of gedeeltelijk geen beheersmaatregelen zijn of kunnen worden getroffen en wanneer het niet redelijk is om het risico op te vangen binnen de begroting van het betreffende begrotingsprogramma. Voor de bepaling van de benodigde weerstandscapaciteit komen alleen resterende risico’s in aanmerking. Van resterende risico’s wordt de mogelijke schade in de voorliggende twee jaar gespecificeerd.

• 9.

  De schade als gevolg van het optreden van een geaccepteerd resterend risico wordt als herkenbare tegenvaller in de uitvoering van de begroting en het rekeningresultaat verwerkt. Een resterend risico betekent niet dat er een claimrecht is voor de dekking van dat resterend risico. Het is bedoeld om een indicatie te hebben van het totaal aan risico dat kan leiden tot negatieve rekening resultaten.

• 10.

  De normhoogte voor de het aan te houden weerstandsvermogen wordt uitgedrukt in de weerstandratio, met normwaarde van 1,5. Indien de Algemene reserve onvoldoende ruimte biedt voor het hanteren van deze ratio, vindt integrale afweging plaats over aanvulling ervan. De wethouder Financiën zal voorstellen doen voor aanvulling tot de norm hoogte eventueel gespreid over een beperkt (2 à 3) aantal jaren op basis van een herstelplan.