‘Commitment aan de top nodig voor risicomanagement’

Raadhuis gemeente Arnhem**

Het geheim van Arnhem

Martijn Kregting*, interview met Jan Henk Janssen | november 2011

Recent werd de aanpak op het gebied van risicomanagement door de gemeente Arnhem in een onderzoek naar 100.000+ gemeenten bestempeld als best practice. De gemeente heeft de afgelopen jaren zijn aanpak van risicomanagement radicaal veranderd. Het is onderdeel geworden van zowel het dagelijks beleid als van de cultuur van de organisatie. Van hoog tot laag zijn mensen van de noodzaak van praktisch risicomanagement doordrongen. Belangrijk is: ‘een proactieve aanpak, goed communiceren met stakeholders, bestaande kennis en menskracht bundelen en verantwoordelijkheid alleen neerleggen waar ze hoort’, vertelt controller Jan-Henk Janssen.

De aanleiding voor de gemeente Arnhem om het beleid op het gebied van risicomanagement om te gooien was een incident tijdens een groot project in de periode dat de financiële crisis goed was losgebarsten. Er ontstond een groot tekort, waarbij de gemeente het bijkomende probleem had van een relatief kleine algemene reserve. De impact van het tekort op de reserve zou groot kunnen zijn, maar dat kon echter niet transparant in kaart gebracht worden. Het tekort bracht twee vragen naar boven, vertelt controller Jan-Henk Janssen. ‘Allereerst of we voldoende aan projectrisicomanagement deden. Ten tweede zou dit tekort een groot deel van onze vrije reserve opsouperen. Dat maakte het heel belangrijk om te weten of onze vrije reserve nog voldoende was in relatie tot andere potentiële risico’s die we liepen.’

Tweesporenbeleid
De antwoorden op beide vragen waren zodanig, dat volgens Jan-Henk Janssen het besef doordrong dat er een duidelijk beleid op het gebied van risicomanagement gedefinieerd moest worden. Het resultaat was een tweesporenbeleid om zowel project- als algemeen risicomanagement te definiëren en in te voeren. Daarbij hanteerden de betrokken controllers vanaf het begin de methode om alle stakeholders actief bij het traject te betrekken, zodat er sprake zou zijn van een praktisch risicomanagement dat door alle verantwoordelijke partijen – van B&W tot en met medewerkers – gedragen werd.

‘Succesverhalen helpen het benodigde vertrouwen te scheppen.’

‘Natuurlijk vormen projecten de grootste financiële risico’s. Maar we zijn bewust gaan verbreden buiten projectrisico’s en buiten financiële risico’s om. Je loopt niet alleen een risico bij een project en die risico’s zijn niet alleen van financiële aard. Het gaat ook om risico’s voor de leefbaarheid van je stad, bijvoorbeeld als er een stuk grond onbebouwd blijft liggen doordat een project niet doorgaat, risico’s voor het imago van je stad en de bestuurders. Dat hebben we allemaal meegenomen in het traject om ons gefragmenteerde ad hoc beleid om te vormen tot structureel, praktisch en integraal risicomanagement.’

Jan-Henk Janssen benadrukt dat voorheen bij de gemeente ook al veel risico’s vanuit de organisatie gemeld werden. Daar lag echter een soort foutencultuur aan ten grondslag: de angst om mogelijke risico’s te laat te melden en waardoor iets verweten zou kunnen worden. ‘Op zich is dat niet erg als het eindresultaat is dat je grip op risico’s hebt. Maar in de praktijk gebeurde het erg vaak dat mogelijke tekorten in het budget al vroeg gemeld werden om op die manier meer budget te krijgen, bijvoorbeeld door het treffen van een voorziening. Risico’s melden werd zo een doel op zich.’

Veel meldingen betroffen een verschil tussen het ambitieniveau van de betrokken partijen bij een project en het beschikbare budget, stelt Janssen. Aangezien dit betekende dat er vooraf al inzicht werd verschaft in de risico’s die bij een project hoorde, was er sprake van ad hoc risicomanagement. ‘De discipline was al redelijk aanwezig. Maar er was geen structuur, geen borging. Bovendien ging het alleen om financiële effecten. Er was geen inzicht in risico’s op bestuurlijk gebied bijvoorbeeld, juridisch of voor het imago van gemeente en bestuur. Doordat een standaard aanpak ontbrak, was het sturen op risico’s en mogelijke gevolgen niet mogelijk. En die systematische, brede aanpak van risicomanagement was nu juist waar we naar toe wilden.’

Systematische, brede aanpak
Met het tweesporenbeleid in het achterhoofd, werden er twee trajecten uitgezet om tot de gewenste systematische, brede aanpak te komen:

    1. Beleid en bijpassende structuur op het gebied van risicomanagement gemeentebreed. Op basis van het risicomanagementsysteem Naris van het Nederlands Adviesbureau voor Risicomanagement worden alle gemeten en potentiële risico’s ingevoerd, zodat van elk project vooraf een risicoanalyse gemaakt kan worden.
    2. Een beleid en bijpassende structuur op het gebied van projectrisicomanagement. Doel is voornamelijk om de financiële gevolgen te kunnen meten in termen van kansen en effecten. Hiervoor heeft de gemeente zelf een risicoscan ontwikkeld en is er een aparte auditor vrijgemaakt die zich als een soort spin in het web bezighoudt risicomanagement in de praktijk. Via de eigen risicoscan wordt overigens ook weer informatie vastgelegd via het Naris-systeem, zodat alle data over risico’s ergens binnen de gemeente overzichtelijk en toegankelijk vastgelegd worden.

Politiek commitment
Elke vorm van goed ingebed risicomanagement, begint volgens Janssen met een duidelijk politiek commitment aan de top. Natuurlijk moet risicomanagement gedragen worden door de hele organisatie, maar in eerste instantie moet het bestuur geloven in het nut en de noodzaak. ‘De verantwoordelijk wethouder was er gelukkig van overtuigd dat we hiermee aan de slag moesten. Toen dat draagvlak er was, zijn we de organisatie in gegaan om teams van mensen te formeren – directeuren, controllers, afdelingshoofden – die voor hun disciplines risicomanagement vorm en inhoud moesten geven.’

Twee sporen

  • Opbouwen van expertise om het managen van (potentiële) risico’s te verbeteren, met name projectrisico’s.
  • Gemeentebreed beheer van risico’s, een betere inzage vooraf van wat risico’s van een besluit of project zijn. Duidelijkheid of risico’s in balans zijn met het vrije of weerstandsvermogen van de gemeente.

Met deze teams moest het draagvlak in de hele organisatie worden gecreëerd. Een complex traject, benadrukt Janssen. ‘Men staat niet altijd positief tegenover verandering. We hebben intern veel workshops gegeven, zijn met teams in de organisatie de boer opgegaan om tekst en uitleg te geven over wat de plannen waren, het verhaal keer op keer verteld over het waarom van deze aanpak. Communicatie is cruciaal, maar niet met dikke rapporten. Dat moet je doen via mensen in de organisatie die er enthousiast over zijn en er goed over kunnen vertellen, het liefst met slechts een paar slides.’

Jan-Henk Janssen ziet zichzelf niet als ‘hoofd’ risicomanagement. ‘Ik ben een soort loods en ‘involved’ controller.’ Foto: LinkedIn profiel Jan-Henk Janssen 2018.

Het veldwerk werd geholpen doordat de auditor snel met succesverhalen kon komen, waarmee projectverantwoordelijken vooraf goed inzicht kregen in wat er aan risico’s en kansen waren. Er waren namelijk na het incident nog genoeg andere projecten waarvan de risico’s en dus gevolgen bij fouten niet transparant waren. ‘Dat geeft risicomanagement handen en voeten. Daarbij werden we geholpen doordat we onze eigen risicoanalyses konden toetsen aan de landelijke database van Naris, zodat we snel met een brede rapportage konden komen waarin ook praktische informatie van andere gemeenten is meegenomen.

Spelregels afkaderen
Volgens Jan-Henk Janssen is het ook belangrijk om goed de spelregels tussen de gemeenteraad en het College van B&W af te kaderen. ‘We hebben een beleidsnota weerstandsvermogen gemaakt waarin we heel duidelijk gekwantificeerd hebben welke risico’s er zijn en wie voor welke risico’s verantwoordelijk is, ook op de diverse niveaus. Sommige risico’s zijn van dien aard dat ze de aandacht van de top moeten hebben, andere risico’s of details kunnen op lagere niveaus behandeld worden. Dat is geen starre structuur. Sommige risico’s kunnen eerst op het hoogste niveau horen, om op een gegeven moment lager in de organisatie terecht te komen.’

Procesauditing
De gemeente Arnhem doet ook aan procesauditing. Dit komt volgens controller Jan-Henk Janssen voort uit projectauditing en steunt dan ook op dezelfde fundamenten, kent dezelfde aanpak en principes. Het gaat vooral om een overall beeld van processen en procesdesign en eventuele risico’s te krijgen, niet om processen op microniveau te managen.

Deze rolverdeling is vanaf het begin door alle partijen geaccepteerd, vertelt Jan-Henk Janssen. De hoogste niveaus hoeven niet overal grip op te hebben – succesverhalen helpen op dit punt het benodigde vertrouwen te scheppen – maar de lagere niveaus hoeven ook niet verplicht van alles op het gebied van risicomanagement te weten. Doe je dat wel, dan werkt risicomanagement als een verstikkende deken. Je moet de verantwoordelijkheid dus alleen daar neerleggen waar die hoort. De directeuren rapporteren formeel de risico’s aan het bestuur, de rapportages worden gemaakt door hun afdelingshoofden.

Levend risicomanagement
Jan-Henk Janssen ziet zichzelf niet als ‘hoofd’ risicomanagement. ‘Ik ben een soort loods en ‘involved’ controller. Ik heb problemen blootgelegd en ben de tools gaan zoeken om risicomanagement handen en voeten te geven. Ik zie mezelf meer als faciliterend, ben niet de diepte ingegaan. Daarvoor zijn de diverse teams nu juist opgezet. Dat is denk ik ook onderscheidend voor onze aanpak: dat we ambassadeurs hadden die risicomanagement levend maakten en houden.’

Onderhoud en beheer van risicomanagement is net zo belangrijk als het opzetten ervan. Het belang van risicomanagement moet voortdurend levend gehouden worden in de organisatie. Dat betekent ook dat het praktisch en makkelijk te hanteren moet zijn, zodat het voor betrokken mensen eenvoudig is om het in hun werk in te passen. Of het nou gaat om de directeuren die aan B&W rapporteren of de afdelingshoofden die aan de directeuren rapporteren. Maar het moet ook geen keurslijf worden. Die goede balans is nodig, tussen te veel en te weinig risicomanagement. ‘Het is toch nog twee keer voorgekomen dat er iets mis ging met projecten. In beide gevallen was er door omstandigheden vooraf geen risicoanalyse gemaakt. Een goed referentiekader vooraf voorkomt dat je ergens blind in gaat.’

Onderhoud en beheer vergt ook goed inzicht voor de betrokkenen in waar de organisatie mee bezig is, zodat er geen risico’s over het hoofd worden gezien. ‘Het gaat er niet om dat we alle risico’s willen mijden, maar wel dat de hele organisatie en het bestuur weet welke risico’s we kunnen tegenkomen, zodat we weten of het weerstandsvermogen voldoende is. Dan kun je bepalen of je een risico kunt lopen. Het is ook noodzakelijk dat risicomanagement mee verandert met de organisatie. Ik raak pas gestrest wanneer er nooit iemand met nieuwe inzichten of ideeën komt om ons beleid inzake risicomanagement aan te passen.’

Er is volgens Jan-Henk Janssen geen extra capaciteit vrijgemaakt om risicomanagement door te voeren en te onderhouden, behalve de speciale auditor voor het gemeentebrede risicomanagement. ‘We hebben geïnventariseerd wat er al gebeurde op het gebied van risicomanagement, welke kennis er al aanwezig was en dat allemaal gebundeld. Zo voorkom je dat je het wiel twee keer uitvindt, maak je goed gebruik van de al aanwezige kennis en krijg je mensen die het risicomanagement moeten invoeren makkelijker mee dan wanneer je hen van bovenaf jouw manier probeert op te leggen.’

‘Onderhoud en beheer zijn even belangrijk

als het opzetten van risicomanagement.’

Juiste knoppen
Jan-Henk Janssen heeft er alle vertrouwen in dat projectrisicomanagement en gemeentebreed risicomanagement in Arnhem leeft, goed uitgevoerd en goed onderhouden wordt. Ondersteuning met de database en analysetools van Naris, evenals de eigen ontwikkelde risicotools, dienen daarbij als een basis om op terug te vallen. ‘De neuzen staan in dezelfde richting, we hanteren dezelfde definities. Door de gedetailleerde, diepgaande analyses die we kunnen maken, zijn we ook bij onvoorziene systeemrisico’s – zoals een kredietcrisis of de impact van de komende bezuinigingsrondes van de rijksoverheid – voortaan in staat om snel aan de juiste knoppen te draaien en zo de gevolgen te beperken. Doordat we ook toegang hebben tot de kennis die andere gemeenten hebben opgebouwd, is het bovendien eenvoudiger om te benchmarken en om oorzaken en gevolgen in te schatten van nieuwe risico’s die we tegen komen.’

Zeven lessen van de gemeente Arnhem

      • Het commitment aan de top moet echt zijn. Niet alleen om de eigen politieke doelstellingen of positie veilig te stellen, maar om de strategische doelen van de organisatie te ondersteunen. Anders zal het besef over nut en noodzaak van risicomanagement ook niet in de lagen onder de top beklijven.
      • Het commitment moet continu ondersteund worden, ook bij wisselingen aan de top. Bij een nieuwe wethouder bijvoorbeeld, begin eerst met het bespreken van de risicomanagementaanpak en duik dan in andere details en processen.
      • Je moet continu het succes en de goede voorbeelden laten zien aan betrokkenen in de organisatie, om duidelijk te maken waarom en waarvoor men aan risicomanagement doet. Ook voor de gemeente Arnhem is dit een punt van aandacht: niet in slaap vallen na succes in het begin.
      • Laat je niet weerhouden door de vraag of er wel voldoende capaciteit is om beleid en aanpak van risicomanagement te ontwikkelen. Bundel de capaciteit die er al is en stuur de samenwerking tussen betrokken partijen in de goede richting. Extra capaciteit werkt ook niet bij het verinnerlijken van risicomanagement in een organisatie, want extra capaciteit verdwijnt weer. Dat zal niet gebeuren bij een beter gebruik van bestaande capaciteit.
      • Hou het simpel: vermoei mensen niet met onnodige details. Zo ontzorg je de verantwoordelijke partijen. Men moet niet te veel maar wel de juiste kennis hebben.
      • Durf risico’s te nemen. Dat geldt ook voor overheden. Risicomanagement is niet bedoeld om risico’s weg te nemen. Maar je moet weten welke risico’s er zijn, zodat je de impact vooraf in kaart kunt brengen op bijvoorbeeld imago en financiën. Wanneer er dan iets fout gaat, weet je wat er moet gebeuren en of je voldoende weerstandsvermogen hebt.
      • Laat politieke agenda’s risicomanagement niet beïnvloeden. Zorg ervoor dat alle mitsen en maren bij projecten vooraf duidelijk en transparant voor iedereen zijn, ook voor gemeenteraad en B&W. Het moet niet zo zijn dat iets dat praktisch niet haalbaar is door het niet noemen van de bijbehorende risico’s alsnog haalbaar gemaakt wordt. Dat is een risicovolle strategie, die onbeheersbaar kan worden.

Wat je niet moet doen

  • Risicomanagement als een keurslijf aan iedereen opleggen. Dat werkt als een verstikkende deken en zorgt voor onnodig werk. Leg de verantwoordelijkheid voor risicomanagement daar en op die niveaus neer waar zij hoort.
  • Ga niet controleren omdat dit om de zoveel jaar hoort. Wanneer een proces of afdeling goed loopt, heeft het geen zin om daar in te duiken. Zorg ervoor dat er een goede signalering is van wanneer zaken fout dreigen te gaan of nieuwe risico’s ergens opduiken. Dan is een audit of risicoanalyse noodzakelijk.

 

*Dit artikel is tevens gepubliceerd in het voormalig Controllers Magazine. Het is geplaatst met toestemming van zowel de geïnterviewde Jan-Henk Janssen als de auteur Martijn Kregting. Martijn is freelance redacteur EmkA Tekstproducties.

** Foto Jack Kruf

Download artikel: Commitment aan de top nodig voor risicomanagement