Een theoretisch kader voor integraal risicomanagement

Toegespitst op de overheid

Hendrik van Moorsel* en Cees A. Visser**| februari 2003

Met het toenemende belang van – en daardoor belangstelling voor – meer geïntegreerd risicomanagement bij overheidsorganisaties, neemt ook de behoefte toe aan een conceptueel raamwerk daarvoor. Deze publicatie probeert in die behoefte te voorzien en is tevens te beschouwen als een vervolg op de publicatie betreffende Enterprise Risk Management.

PRIMO herplaatst dit artikel omdat de zoektocht naar integraal risicomanagement in publieke organisaties nog steeds in volle gang is. Met het Besluit begroting en verantwoording provincies en gemeenten (BBV) 17 januari 2003 koos de rijksoverheid om de focus (artikel 11, lid 2) te leggen op “alle risico’s waarvoor geen maatregelen zijn getroffen en die van materiële betekenis kunnen zijn in relatie tot de financiële positie”.

Artikel 13 onderstreept de nadruk van een wettelijk kader op financieel weerstandsvermogen: “De paragraaf betreffende de financiering bevat in ieder geval de beleidsvoornemens ten aanzien van het risicobeheer van de financieringsportefeuille en geeft inzicht in de rentelasten, het renteresultaat, de wijze waarop rente aan investeringen, grondexploitaties en taakvelden wordt toegerekend en de financieringsbehoefte.”

Anno 2019 ligt het accent bij risicomanagement nog steeds op financiën. Kaders voor een verplicht integraal risicomanagement of paragraaf besturing ontbreken nog steeds. De gevolgde aanpak door veel publieke organisaties wordt nog steeds gedomineerd door modellen afkomstig uit de wereld van financiën, accountancy en verzekeringen. Het artikel had gisteren geschreven kunnen zijn.

Duurzaam succesvolle organisaties zijn per definitie goed in het beheersen van hun belangrijkste risico’s. Immers, een organisatie die die risico’s niet goed beheerst, is gedoemd op termijn te verdwijnen. Echter, zelfs de meest succesvolle organisaties neigen er traditioneel gezien naar hun risico’s ad hoc en gefragmenteerd te beheersen. Verzekerbare, technologische, financiële, operationele, automatiserings-, milieu-, veiligheids-, kwaliteits-, integriteit- en frauderisico’s et cetera, worden veelal onafhankelijk van elkaar beheerst vanuit separate, gespecialiseerde organisatieonderdelen.

Binnen de context van de overheid lijkt veelal geen sprake te zijn van een directe bedreiging van de continuïteit. Falende risicobeheersing kan echter wel van directe invloed zijn op het belang dat de burger hecht aan een bepaalde overheidsdienst. Daarmee komt de legitimiteit van de aanwezigheid van de overheid c.q. het overheidshandelen in het geding en een overheid die haar legitimiteit verliest, ziet de rechtvaardiging van haar bestaan aangetast. Voorts biedt het implementeren van risicomanagement nieuwe kansen de effectiviteit van de organisatie te vergroten en het is daarmee een welkome aanvulling van het repertoire van de overheidsmanager die het gebrek aan marktwerking via eigen managementimpulsen moet compenseren.

Integraal risicomanagement
Integraal risicomanagement gaat uit van een benadering waarbij het management van risico’s op basis van haar bijdrage aan de realisatie van de organisatiedoelstellingen wordt geïntegreerd en gecoördineerd over de gehele organisatie. Daarbij wordt tevens uitdrukkelijk rekening gehouden met de onderlinge relaties en afhankelijkheden van de diverse (soorten) organisatierisico’s.

Enkele belangrijke verschillen tussen meer ‘traditioneel’ en integraal risicomanagement zijn:

Gefragmenteerd: diensten, afgrendelingen en functies beheersen de diverse soorten risico’s separaat en onafhankelijk van elkaar. <> Geïntegreerd: het risicomanagement wordt gecoördineerd vanuit het bestuur en is volledig geïntegreerd in de organisatie van het concern en de diensten.

Ad hoc en reactief: risicomanagement krijgt aandacht wanneer het bestuur door aanleiding toe ziet, bijvoorbeeld in vervolg op crisissituaties. <> Continu en proactief:  risicomanagement is een activiteit die zich permanent ontwikkelt. Er vindt een actieve identificatie plaats van nieuwe risico’s.

Eng aandachtsgebied: met name gericht op verzekerbare en financiële c.q. begrotingsrisico’s. <> Breed aandachtsgebied: alle organisatierisico’s worden in het proces betrokken.

Door een betere beleidsmatige aansturing en onderlinge coördinatie van alle maatregelen en activiteiten ter beheersing van risico’s, worden de inconsistenties, overlappingen en lacunes daarin geëlimineerd. Bovendien wordt daardoor de identificatie van nieuwe risico’s proactiever, waardoor de kans wordt gereduceerd dat de organisatie zich voor onverwachte uitdagingen gesteld ziet. Het zal duidelijk zijn dat de voorgestane benadering ook leidt tot een andere benadering van de accountants en auditors.

Waar deze ‘waarnemers’ tot nu toe, veelal in navolging van de te onderzoeken organisatie, ook gericht waren op specifieke aandachtsgebieden (bijvoorbeeld rechtmatigheid of financiële risico’s), ontstaat nu de mogelijkheid ook hier een brede benadering te kiezen. Dit behoeft niet te leiden tot een nieuwe opdracht voor de controlerende (externe) accountant, maar maakt het mogelijk zijn toetsende werkzaamheden te plaatsen binnen een breder raamwerk. Aldus handelend kan ook het werk van de verschillende controleurs en toezichthouders beter en effectiever op elkaar worden afgestemd.

De contouren van een integraal risicomanagement:

  • Risicostrategie: de voornaamste risico’s van de organisatie en de tolerantiegrenzen van die risico’s.
  • Risicomanagement-architectuur: de basisprincipes voor het ontwerp van risicogerichte organisatiestructuren, processen en (controle)systemen.
  • Integratie van risicomanagement in de organisatie: de integratie van risicobeheers- en controlemaatregelen in de reguliere bedrijfsvoering.
  • Meten en beoordelen effectiviteit verbetering risicovaardigheden: het analyseren en beoordelen van de bijdrage van de risicobeheers- en controlemaatregelen en de realisatie van de organisatiedoelstellingen en de continue verbetering daarin.

Hoewel het hieronder gepresenteerde raamwerk voor integraal risicomanagement zich vooral richt op instrumentele aspecten (structuren, functies, processen, methoden en technieken), leert de ervaring dat door een betere invulling van de elementen van dat raamwerk tevens een belangrijke bijdrage wordt geleverd aan de meer culturele aspecten daarvan. Door de implementatie van het raamwerk voor integraal risicomanagement wordt het belang van gedragsaspecten die zich bijvoorbeeld laten typeren als ‘leiderschap en daadkracht’, ‘afspraak is afspraak’ (discipline), ‘van buiten naar binnen kijken’ (klantperspectief) en ‘verbetergerichte omgang met feedback’, nog eens extra onderstreept.

Vanuit de doelstellingen van de organisatie worden haar voornaamste risico’s gedefinieerd en de tolerantiegrenzen daarvan vastgesteld. Vervolgens formuleert de organisatie de basisprincipes die zij hanteert voor het ontwerpen van organisatiestructuren, processen en (controle)systemen. De ervaring leert dat de mate van verankering van risicomanagement in de reeds bestaande organisatiestructuren, processen en (controle)systemen een sterke invloed heeft op de effectiviteit en efficiency daarvan. Daarom dient te worden bewerkstelligd dat ook langs deze dimensie sprake is van verdergaande integratie. De bijdrage van het risicomanagement aan de realisatie van de organisatiedoelstellingen dient periodiek te worden geanalyseerd en beoordeeld. De resultaten van die beoordelingen vormen belangrijke aanknopingspunten voor de verdere verbetering van die bijdrage.

Structuurelementen

Zoals gezegd, geven organisaties vaak reeds op meerdere plaatsen in de organisatie aandacht aan allerlei risico’s, echter zonder dat daarvoor een totaalconcept bestaat. De implementatie van geïntegreerd risicomanagement volgt veelal een (meerjaren) groeimodel, waarbij de meeste organisaties zich momenteel nog in de aanvangsfasen bevinden. Zij kunnen daarom meestal relatief snel en eenvoudig forse effectiviteit- en efficiencyverbeteringen van hun risicomanagement realiseren. De belangrijkste structuurelementen van het groeimodel voor integraal risicomanagement zijn weergegeven hierboven onder contouren (hierboven)

Lezers bekend met die materie zullen hierin zeker het ‘regelkringconcept’ herkennen, zoals dat ook wordt gehanteerd bij het ontwerpen van managementsystemen, gericht op bijvoorbeeld kwaliteits- en milieuzorg en arbeidsveiligheid. De inrichting van dergelijke (geïntegreerde) managementsystemen voorziet daarmee niet alleen in de uitvoering van de desbetreffende activiteiten, maar ook in de continue beoordeling en verbetering van de effectiviteit en efficiency daarvan. Hieronder worden de acht elementen van het groeimodel integraal risicomanagement afzonderlijk toegelicht.

1. Beleid en doelstellingen
Een risico laat zich ook definiëren als de dreiging dat een gebeurtenis of actie een negatief effect zal hebben op het vermogen van een organisatie om de haar gestelde beleidsdoelen te realiseren. Voor de aansturing en beoordeling van het risicomanagement van een organisatie is het dus van belang dat deze doelen concreet, intern goed gekend en begrepen zijn.

2. Risico-inventarisatie
Indachtig de bovenstaande definitie van risico’s, bestaat het tweede element van het groeimodel uit een zo breed en volledig mogelijke inventarisatie van mogelijke gebeurtenissen en acties die de realisatie van de organisatiedoelstellingen in gevaar kunnen brengen. Daarbij is het belangrijk steeds zo eenduidig mogelijk vast te stellen wat de fundamentele oorzaken van die risico’s zijn. Op een hoger aggregatieniveau beschouwd kennen bepaalde risico’s namelijk vaak meerdere grondoorzaken die om verschillende beheersmaatregelen vragen. De ook binnen de kwaliteitszorg veel gebruikte analysetechnieken zoals die van Ishikawa en Pareto zijn hierbij vaak zeer krachtige hulpmiddelen.

Uit analytische en praktische overwegingen worden de aldus bepaalde risico’s vaak op basis van hun aard geclusterd. Een veel gehanteerde clustering is die van strategische, financiële en operationele risico’s. Strategische risico’s kunnen worden gedefinieerd als gebeurtenissen of ontwikkelingen die afbreuk doen aan het bestaansrecht van de organisatie, zoals het wegvallen van de vraag naar haar producten of diensten. Financiële risico’s zijn gebeurtenissen of ontwikkelingen die directe consequenties hebben voor de vermogenspositie of kasstromen van de organisatie.

Voorbeelden daarvan zijn waarderings-, krediet- valuta-, rente-, en liquiditeitsrisico’s. Operationele risico’s zijn belemmeringen voor het realiseren van de organisatiedoelen die voortkomen uit het falen van mensen, processen en systemen, zoals vergissingen, inadequate administratieve organisatie en interne controle, ziekteverzuim en arbeidsongeschiktheid, juridische aansprakelijkheid en computerstoringen.

De voor winstgerichte organisaties relevante risico’s laten zich nagenoeg altijd (ook) uitdrukken in hun verwachte directe en indirecte consequenties voor de winstgevendheid – en daarmee op termijn voor de levensvatbaarheid – van die organisaties. Overheidsorganisaties zijn niet winstgericht en kennen daarom risico’s waarvan de consequenties zich niet in financiële termen laten uitdrukken. Dat type risico wordt veelal geclusterd onder de noemer bestuurlijke of politieke risico’s. Naar haar aard is deze cluster het meest vergelijkbaar met de cluster strategische risico’s zoals winstgerichte organisaties die kennen.

De voornaamste reden waarom bovengenoemde risicoclusters idealiter niet uitsluitend afzonderlijk, maar juist integraal moeten worden beschouwd en beheerd, is gelegen in het feit dat er veelal onderlinge afhankelijkheden kunnen zijn. Zo kunnen financiële en operationele risico’s aanleiding geven tot politieke risico’s en vice versa. Daarbij heeft de ervaring geleerd dat de correlaties tussen financiële en operationele risico’s enerzijds en politieke risico’s anderzijds vaak sterker zijn dan andersom. Anders gesteld: relatief veel politieke risico’s vinden hun ‘oorsprong’ in financiële en operationele risico’s.

Het verdient daarom aanbeveling het integraal risicomanagement bij overheidsorganisaties in eerste instantie te richten op de financiële en operationele risico’s. Daarbij dient tevens te worden bewerkstelligd dat de sensibiliteit van de ambtelijke organisatie voor de bestuurlijke en politieke aspecten van die financiële en operationele risico’s wordt verhoogd.

3. Risicoprioriteitsstelling
Zoals gezegd, moet het rangschikken van risico’s op hun belang voor de organisatie worden gerelateerd aan de doelstellingen van de (ambtelijke) organisatie van de eigen organisatie. Daarbij is het vanuit analytisch oogpunt vaak nuttig een risico te beschouwen als het product van het effect van een bepaalde gebeurtenis en de verwachte frequentie waarmee die gebeurtenis zich voordoet (risico = kans × effect).

Het is dan belangrijk om ten aanzien van de verwachte frequentie duidelijk aan te geven welke tijdshorizon men hanteert bij de inschatting daarvan. Immers, die kan op korte termijn heel anders zijn dan op de langere termijn. Ook is het nodig onderling vast te stellen of men de effecten inschat exclusief de (mitigerende) invloed van reeds genomen beheersmaatregelen ten aanzien van dat effect (het ‘bruto-effect’) of juist inclusief die effecten (het ‘netto- of residu-effect’). Mede gezien het feit dat de consequenties van risico’s voor overheidsorganisaties zich niet in een eenduidige en uniforme ‘meeteenheid’ (zoals geld) laten uitdrukken, geschiedt het aanbrengen van een prioriteitsstelling in de risico’s van de organisatie goeddeels op basis van kwalitatieve en subjectieve gronden. Men kan aan dit bezwaar tegemoetkomen door een dergelijke prioriteitstelling te baseren op de consensus daaromtrent van een groep mensen die allen goed bekend zijn met de doelstellingen en het intern functioneren van de organisatie.

4. Vaststellen risicotoleranties
Nadat in kaart is gebracht wat de belangrijkste financiële en operationele risico’s zijn, kunnen de toleranties van de organisatie ten opzichte van die risico’s worden vastgesteld. De gestelde risicotoleranties moeten worden gedefinieerd in termen van operationele parameters (prestatie-indicatoren) om te kunnen komen tot de feitelijke beheersing van dat risico. Zo zou de tolerantie van een kans van vijf procent per jaar op de oninbaarheid van vorderingen zich bijvoorbeeld kunnen vertalen in een maximale betalingstermijn van dertig dagen gecombineerd met een individuele kredietlimiet van 50.000 euro. Ten aanzien van de beschikbaarheid van informatiesystemen kan bijvoorbeeld worden vastgesteld welke onderbreking daarin (in tijd gemeten) acceptabel is. Ook ten aanzien van de verwachte frequentie waarmee nominale doorlooptijden van procedures worden overschreden, kunnen tolerantiegrenzen worden vastgesteld.

5. Risicoallocatie over bedrijfsprocessen
Voor de geïnventariseerde risico’s kan vervolgens worden bepaald in welk(e) organisatieproces(sen) dat risico zich voordoet. Degene in de organisatie die de verantwoordelijkheid draagt over dat proces, dient als eerstverantwoordelijke van dat risico (‘risico-eigenaar’) aangewezen te worden. Daarbij is het verstandig ernaar te streven die verantwoordelijkheid zo laag mogelijk in de organisatie te leggen. Daardoor wordt namelijk zekergesteld dat die verantwoordelijkheid zo dicht mogelijk is gekoppeld aan de bron van en de praktijkkennis over dat risico. Indien een bepaald risico (het raakvlak van) meerdere processen overstijgt, dient die verantwoordelijkheid te worden gealloceerd aan het eerst hogere hiërarchische niveau. Omwille van het inzicht en overzicht is het nuttig hiervan een schematische voorstelling te maken, waarin wordt aangegeven hoe hoog het risico is van een bepaalde stap in een organisatieproces en welke afdeling binnen de organisatie voor die processtap verantwoordelijk is.

6. Risicobeheersmaatregelen
Nadat is vastgesteld waar in de bedrijfsprocessen bepaalde risico’s hun oorsprong hebben, wat de acceptabele toleranties daarvan zijn, en nadat ook de verantwoordelijkheden voor die risico’s zijn bepaald, kan – in overleg met de desbetreffende verantwoordelijken – worden bepaald op welke wijze(n) men die risico’s het best beheerst. Daartoe bestaan de volgende basisstrategieën: verhogen, accepteren, reduceren, elimineren, mitigeren en overdragen. Per geïdentificeerd risico zal de daarvoor gekozen basisstrategie moeten worden vertaald naar concrete organisatorische beheersmaatregelen.

De zes genoemde basisstrategieën en enkele algemene voorbeelden van daarbij passende risicobeheersmaatregelen zijn:

  • Verhogen: uitbreiden, vergroten, herontwerpproces, ‘decontroleren’.
  • Accepteren: incalculeren in de besluitvorming, bewaken.
  • Reduceren: herontwerpproces, verhogen bewaking, reduceren activiteit.
  • Elimineren: herontwerpproces, staken activiteit.
  • Mitigeren: compenseren c.q. ‘hedgen’, alternatieve financiering, herontwerpproces.
  • Overdragen: verzekeren, juridisch overdragen, aan derde uitbesteden.

Het is van cruciaal belang dat het toepassingsgebied en de verantwoordelijkheden voor de diverse soorten risico’s en de daarbij behorende beheersmaatregelen zo eenduidig mogelijk worden gedefinieerd. Dit, opdat binnen de organisatie voldoende duidelijk is, hoe voor elk risico de taken, verantwoordelijkheden en bevoegdheden intern verdeeld zijn. Immers, het ontbreken van dergelijke eenduidige coördinatie kan er gemakkelijk toe leiden dat een bepaald risico ‘tussen wal en schip valt’, of dat een ander risico een onduidelijk gedeelde taak en verantwoordelijkheid van meerdere organisatieonderdelen wordt. Middels de hier beschreven beleidsgerichte en gestructureerde benadering kunnen dergelijke inconsistenties, overlappingen en lacunes worden geëlimineerd en kan integraal risicomanagement werkelijk gestalte krijgen.

7. Rapportage risicobeheersmaatregelen
Als basis voor de evaluatie van hun effectiviteit en efficiency moet er regelmatig worden gerapporteerd over de resultaten van de gekozen risicobeheersmaatregelen. De frequentie daarvan is mede afhankelijk van de dynamiek van de externe omgeving, alsmede van die van de bedrijfsprocessen zelf. Het verdient aanbeveling ook hier zoveel mogelijk aansluiting te zoeken bij reeds bestaande rapportagesystemen. De rapportages inzake de financiële en operationele risico’s dienen dan ten minste melding te maken van de frequentie en omvang waarmee de gestelde risicotoleranties worden overschreden, alsmede de corrigerende maatregelen die daarop reeds zijn genomen.

8. Evalueren risicobeheersmaatregelen
Zoals gezegd, dienen de periodieke rapportages inzake de resultaten van de risicobeheersmaatregelen als basis voor de evaluatie van hun effectiviteit en efficiency. Die evaluatie kan aanleiding geven tot aanpassingen van het beleid en de doelstellingen van de organisatie zelf, alsmede van de gekozen risicobeheersmaatregelen.

Daarmee wordt dan tevens het begin gemaakt met het doorlopen van de volgende cyclus van het groeimodel van integraal risicomanagement en wordt zekergesteld dat de organisatie haar vaardigheden op dit gebied permanent blijft verbeteren. Daarbij is het zaak de beschreven acht elementen van het groeimodel integraal risicomanagement zo evenwichtig mogelijk verder te ontwikkelen. Immers, ook hier geldt dat het systeem zo robuust is als haar zwakste onderdeel. Derhalve is het niet zinvol te streven naar een meer dan gemiddelde verbetering van de invulling van slechts enkele onderdelen van dat groeimodel.

Tot slot: het INK-model

Ten behoeve van de verbetering van de interne organisatie maken veel overheidsorganisaties gebruik van het evaluatie- en groeimodel van het Instituut Nederlandse Kwaliteit (INK) voor de positiebepaling en de verbetering van de kwaliteit van haar organisatie. In opdracht van de Vereniging Nederlandse Gemeenten, het INK en Ernst & Young – reeds alweer in 1997 – is een handleiding opgesteld voor de toepassing van het INK-model bij (lokale) overheden.

Aangezien de mate van risicobeheersing een belangrijk aspect is van de kwaliteit van de interne organisatie, kan het INK-model tevens heel goed worden gebruikt als ‘kapstok’ voor de organisatorische inbedding en verankering van integraal risicomanagement. Aldus resulteert verdere professionalisering van het risicomanagement direct in belangrijke verbeteringen in de invulling van de negen aandachtsgebieden van het INK-model. Door dergelijke gecoördineerde verbeteractiviteiten wordt bovendien een belangrijk impuls gegeven aan het verhogen van de ‘zichtbaarheid’ van de maatschappelijke meerwaarde van de prestaties van individuele overheidsorganisaties richting hun burgers, hetgeen met name bijzonder relevant is ten behoeve van discussies omtrent hun bestaansrecht en legitimiteit.

Literatuur

T.L. Barton, W.G. Shenker, P.L. Walker, Making Enterprise Risk Management Pay Off, 2002.

James W. Deloach, Enterprise-Wide Risk Management, Strategies For Linking Risk And Opportunity, 2000.

J.A. Miccols, K. Hively, B.W. Merkely, Enterprise Risk Management, Trends and Emerging Practices, 2001.

‘Leading Practices in Risk Management’, Current Applications of Enterprise Risk Management, Ernst & Young Netherlands, May 2002.

page4image1369763200

*Hendrik van Moorsel MPM RA, binnen Ernst & Young als partner verantwoordelijk voor Business Risk Services Overheid en Non-Profit Organisaties.

*Drs. Cees A. Visser, binnen Ernst & Young de verantwoordelijke partner voor Enterprise Risk Management.

** Het artikel is tevens gepubliceerd in Overheidsmanagement 2003/2. Door PRIMO oorspronkelijk gepubliceerd 2 november 2006.

Foto: Jack Kruf

Download artikel