• No results found

in de overheidssector

N/A
N/A
Info
Downloaden
Protected

Academic year: 2021

Share "in de overheidssector "

Copied!
70
0
0

Bezig met laden.... (Bekijk nu de volledige tekst)

Download het nu ( 70 pagina )

Hele tekst

(1)

Integraal

risicomanagement

in de overheidssector

(2)

Integraal

risicomanagement in de overheidssector

Ten behoeve van afstudeerscriptie voor de studie Bedrijfskunde aan Rijksuniversiteit Groningen

In opdracht van Ernst & Young

Naam : Hanna Frankfort

Studentnummer : 1139363

Telefoon : 06-48314771

E-mail : hannafrankfort@hotmail.com

Eerste begeleider : dhr. drs. E. Gnirrep Tweede begeleider : dhr. drs. E. M. Jungeling Begeleider

Ernst & Young : Christine Scheper RA

Telefoon : 020-5466182

(3)

Voorwoord

Deze scriptie is het eindproduct van mijn afstudeeronderzoek voor de studie Bedrijfskunde aan de Rijksuniversiteit Groningen. Het onderzoek, dat ik heb ik uitgevoerd bij Ernst & Young Amsterdam, verschaft inzicht in de mate waarin integraal risicomanagement wordt toegepast in overheidsorganisaties.

Met deze scriptie komt een eind aan een periode van vallen en opstaan met leuke en minder leuke momenten. Al met al kijk in terug op een zware, maar zeer leerzame tijd.

Uiteraard was mijn afstudeeronderzoek niet tot stand gekomen zonder hulp, steun en advies van een aantal personen in het bijzonder. Hen wil ik bij deze bedanken.

Ik denk daarbij aan mijn eerste begeleider van de faculteit Bedrijfskunde Eddie Gnirrep, die op momenten dat dit nodig was met nieuwe invalshoeken en oplossingen kwam. Mijn tweede begeleider, Edward Jungeling wil ik vooral bedanken voor zijn hulp bij het opstellen van de vragenlijst en bij het vinden van manieren om de verzamelde gegevens om te zetten in bruikbare informatie.

Binnen Ernst & Young wil ik Hendrik van Moorsel bedanken voor de kans die hij mij heeft gegeven om deze opdracht voor hem uit te voeren. Daarnaast heeft Christine Scheper, mijn begeleider binnen Ernst & Young, me met raad en daad bijgestaan.

Tenslotte een woord van dank voor Hein de Kok van het Ministerie van Financiën, die een aanzienlijke hoeveelheid tijd heeft gestoken in het geven van commentaar op en advies voor mijn onderzoek. Daarnaast heeft ook hij een grote bijdrage geleverd aan het opstellen van de

vragenlijst.

Met deze scriptie komt niet alleen een einde aan mijn studie Bedrijfskunde, maar ook aan mijn leven als student. Terugkijkend op een geweldige tijd in Groningen vertrek ik naar Amsterdam om daar mijn loopbaan als bedrijfskundige te starten.

Hanna Frankfort Groningen, juni 2004

(4)

Samenvatting

Binnen de Nederlandse overheid is in de afgelopen jaren de aandacht voor haar functioneren aanzienlijk gestegen. Ook burgers en belangengroepen in de samenleving eisen verbetering van het overheidsfunctioneren, wat tot gevolg heeft gehad dat een proces van verandering in gang is gezet onder de noemer bestuurlijke vernieuwing. Kernconcepten hiervan zijn verbetering van doeltreffendheid en doelmatigheid, transparantie en het afleggen van verantwoordelijkheid.

Het implementeren van integraal risicomanagement kan de kwaliteit van de bedrijfsvoering verbeteren, het betreft namelijk een managementinstrument dat zekerheid verschaft omtrent het bereiken van doelstellingen door het identificeren en beheersen van bedreigingen voor het behalen van die doelstellingen. Risicomanagement past daarom goed in het thema bestuurlijke vernieuwing. Als gevolg is de aandacht voor integraal risicomanagement binnen

overheidsorganisaties gestegen.

Dit is opgemerkt door de afdeling Business Risk Services van Ernst & Young, die diensten verleent op het gebied van implementatie en verbetering van integraal risicomanagement, en door het Ministerie van Financiën, dat overheidsorganisaties ondersteunt door het delen van kennis en ervaring op dit gebied. Bij hen is de vraag ontstaan in hoeverre integraal

risicomanagement op dit moment wordt toegepast binnen overheidsorganisaties. Dit onderzoek probeert antwoord te geven op die vraag.

De doelstelling van het onderzoek luidt:

Inzicht verschaffen in de mate waarin overheidsorganisaties integraal risicomanagement toepassen en in een norm waaraan organisaties zich kunnen meten en het doen van aanbevelingen voor de ontwikkeling van integraal risicomanagement binnen

overheidsorganisaties.

Dit is onderzocht door middel van het uitzetten van een survey onder overheidsorganisaties en het bespreken van de resultaten daarvan in een seminar. De survey is opgesteld aan de hand van het Ernst & Young Enterprise Risk Management Framework, dat zes kritische elementen van integraal risicomanagement bevat. Het betreft een risicomanagementstrategie, governance, risicobeheersfuncties, risicobeheersingsprocessen, technologische ondersteuning en cultuur en vaardigheden. Per element zijn de onderdelen waaruit het bestaat geïdentificeerd, waarna een selectie is gemaakt van de belangrijkste onderdelen. In de survey is vervolgens naar de aanwezigheid van deze onderdelen gevraagd. Er zijn 149 overheidsorganisaties benaderd om deel te nemen aan de survey, 33 daarvan hebben daadwerkelijk deelgenomen.

De uitkomsten van het onderzoek zijn onder te verdelen in uitkomsten betreffende het bewustzijn binnen de organisaties van de noodzaak tot verandering en uitkomsten betreffende de

aanwezigheid van de zes voorwaarden voor effectief integraal risicomanagement.

Aan de hand van de theorie betreffende veranderingsmanagement kunnen uitspraken worden gedaan omtrent de eerste groep uitkomsten. De eerste twee fasen van een succesvol

veranderingsproces zijn die van de veranderingseis en de veranderingsrichting. De ondervraagde overheidsorganisaties hebben de veranderingseis onderkend, door aan te geven dat de risico’s waar de organisatie mee te maken krijgt zijn gestegen en dat bewust omgaan met risico’s belangrijker is geworden.

Integraal risicomanagement wordt echter nog niet altijd als de veranderingsrichting gezien om dit te bereiken. Het wordt namelijk niet als belangrijk voor het behalen van organisatiedoelstellingen ervaren, daarbij heeft het geen hoge prioriteit binnen het hoogste management van de

organisaties.

Vervolgens is de aanwezigheid van de zes voorwaarden voor effectief integraal

risicomanagement aan bod gekomen. Een risicomanagementstrategie wordt relatief vaak aangetroffen. De diverse onderdelen komen in grofweg 40% van de organisaties voor. Er zijn onvoldoende governancestructuren en risicobeheersfuncties aangetroffen. Het onderdeel risicobeheersingsprocessen is relatief veel aanwezig, maar toch nog niet in voldoende mate om van effectief integraal risicomanagement te kunnen spreken. Aan de juiste cultuur en

(5)

vaardigheden voor integraal risicomanagement wordt nog zeer weinig gewerkt en van voldoende technologische ondersteuning is overwegend geen sprake.

Aan de hand van de resultaten kan worden gesteld dat de voorwaarden voor integraal risicomanagement slechts in zeer beperkte mate aanwezig zijn binnen overheidsorganisaties.

Overheidsorganisaties kunnen daarbij in het begin van een groeimodel naar optimaal integraal risicomanagement worden geplaatst. Kenmerken daarvan, die overheidsorganisaties bezitten, zijn een eng aandachtsgebied voor risicosoorten, het ontbreken van continu risicomanagement en een gefragmenteerde benadering ervan.

De ontwikkeling naar integraal risicomanagement kent drie stappen, namelijk het opstellen van een plan, het inrichten van de organisatie en de uitvoering door middel van processen en cultuur.

Uit de onderzoeksresultaten blijkt dat een deel van de overheidsorganisaties een plan heeft opgesteld voor implementatie van integraal risicomanagement, maar het inrichten van de organisaties en het uitvoeren van integraal risicomanagement zijn weinig gebeurd. Ook blijkt dat er een positief verband bestaat tussen de mate waarin organisaties over een plan beschikken en de mate waarin zij de laatste twee fasen hebben doorlopen.

Daarnaast hebben hoge prioriteit voor risicomanagement binnen het hoogste management en het uitdragen van de ondersteuning van het hoogste management naar de gehele organisatie een positief effect op de ontwikkeling ervan.

Ook het vestigen van een innovatieve cultuur, het creëren van besef van de te nemen

hoeveelheid risico bij het behalen van doelen en het aanstellen van een verantwoordelijke voor risicomanagement hebben een positieve invloed op de kwaliteit van de risicomanagement processen.

Op basis van deze bevindingen kunnen aanbevelingen worden gedaan voor het ontwikkelen van integraal risicomanagement binnen overheidsorganisaties.

Het gaat om de volgende aanbevelingen:

• Creëren van een bewustwording betreffende de toegevoegde waarde van integraal risicomanagement en het communiceren van een risicokader

• Verspreiden van kennis en best practices

• Aanwijzen van verantwoordelijken

• Uitdragen ondersteuning door management

• Koppeling met organisatiedoelstellingen

Wanneer de bovenstaande aanbevelingen worden opgevolgd zullen snel verbeteringen op het gebied van integraal risicomanagement kunnen worden bewerkstelligd en zal het proces van ontwikkeling ervan versneld in gang kunnen worden gezet.

(6)

Inhoudsopgave

Hoofdstuk 1: Aanleiding van het onderzoek

1.1 Inleiding 9

1.2 Bestuurlijke vernieuwing 9

1.3 Risicomanagement 10

1.4 Ministerie van Financien 10

1.5 Ernst & Young 11

1.6 Opbouw van het verslag 11

Hoofdstuk 2: Onderzoeksopzet

2.6 Probleemverkenning 12

2.2 Probleemstelling 13

2.3 Conceptueel model en deelvragen 14

2.4 Randvoorwaarden 15

2.5 Onderzoekstype 15

2.6 Onderzoeksmethode

2.6.1 Gegevensbronnen 16

2.6.2 Dataverzamelingsmethoden 16

2.6.3 Opstellen van de survey 18

2.7 Onderzoeksontwerp 18

Hoofdstuk 3: Risicomanagement

3.1 Inleiding 20

3.2 Risico nader gedefinieerd 20

3.3 Historie risicomanagement 21

3.4 Recente ontwikkelingen

3.4.1 Inleiding 21

3.4.2 Corporate governance 22

3.4.3 Ontwikkeling risicomanagement 24

3.5 Integraal risicomanagement 25

3.6 Voorwaarden voor effectief risicomanagement

3.6.1 Ernst & Young Enterprise Risk Management Framework 26

3.6.2 Risicomanagementstrategie 28

3.6.3 Governance 29

3.6.4 Risicbeheersfuncties 30

3.6.5 Risicobeheersingsprocessen 30

3.6.6 Technologische ondersteuning 31

3.6.7 Cultuur en vaardigheden 31

3.6.8 Opmerkingen bij het raamwerk 32

3.7 Vergelijking met het COSO ERM Framework 32

3.1 Samenvatting 33

Hoofdstuk 4: De overheid en risicomanagement

4.1 Inleiding 34

4.2 Definitie overheid 34

4.3 Ontwikkelingen in Nederland 35

4.4 New Public Management 36

4.5 Public governance 36

(7)

4.6 Bestuurlijke vernieuwing in Nederland 37 4.7 Bestuurlijke vernieuwing en risicomanagement 37

4.8 Specifieke kenmerken van de overheid

4.8.1 Inleiding 38

4.8.2 Doelstellingen 38

4.8.3 Ontbreken marktwerking 39

4.8.4 Wettelijke context 39

4.8.5 Bekostiging 39

4.8.6 Openbaarheid van bestuur 39

4.8.7 Gevolgen voor risicomanagement 39

4.9 Voordelen integraal risicomanagement voor overheidsorganisaties 40

4.1 Samenvatting 41

Hoofdstuk 5: Bewustzijn van de noodzaak tot verandering

5.1 Inleiding 43

5.2 Veranderingsmanagement

5.2.1 Inleiding 43

5.2.2 Veranderingseis 43

5.2.3 Veranderingsrichting 44

5.3 Opmerkingen bij de respons 44

5.4 Resultaten van de survey

5.4.1 Veranderingseis 45

5.4.2 Veranderingsrichting 46

5.1 Samenvatting en conclusie 47

Hoofdstuk 6: Aanwezigheid voorwaarden effectief risicomanagement

6.1 Inleiding 48

6.2 Risicomanagementstrategie

6.2.1 Onderdelen risicomanagementstrategie 48

6.2.2 Resultaten risicomanagementstrategie 48

6.3 Governance

6.3.1 Onderdelen governance 50

6.3.2 Resultaten governance 50

6.4 Risicobeheersfuncties

6.4.1 Onderdelen risicobeheersfuncties 51

6.4.2 Resultaten risicobeheersfuncties 51

6.5 Risicbeheersingsprocessen

6.5.1 Onderdelen risicobeheersingsprocessen 52

6.5.2 Resultaten risicobeheersingsprocessen 52

6.6 Cultuur en vaardigheden

6.6.2 Onderdelen cultuur en vaardigheden 54

6.6.2 Resultaten cultuur en vaardigheden 55

6.7 Technologische ondersteuning

6.7.1 Onderdelen technologische ondersteuning 56

6.7.2 Resultaten technologische ondersteuning 56

6.8 Waardering risicomanagement 57

6.2 Samenvatting 57

Hoofdstuk 7: Conclusies en aanbevelingen

7.2 Inleiding 59

7.2 Toepassing van integraal risicomanagement bij de overheid

7.2.1 Inleiding 59

7.2.2 Groeimodel naar integraal risicomanagement 59

(8)

7.2.3 Groeifase overheidsorganisaties 60

7.2.4 Analyse overige resultaten 63

7.3 Conclusie 65

7.4 Aanbevelingen 66

Literatuurlijst 69

Bijlage I: Resultaten van de survey

71

(9)

Hoofdstuk 1

Aanleiding van het onderzoek

1.1 Inleiding

Deze scriptie geeft inzicht in de aanwezigheid van integraal risicomanagement bij

overheidsorganisaties. Het gaat daarbij onder andere om het bewustzijn dat bestaat omtrent de toegevoegde waarde die risicomanagement kan brengen en om de mate waarin een integraal risicomanagement systeem is ingevoerd bij de organisaties. Dit inzicht is verkregen door het uitzetten van een survey bij deze organisaties.

Voordat de onderzoeksopzet en de resultaten zullen worden besproken zal allereerst in dit hoofdstuk de aanleiding van het onderzoek worden behandeld.

1.2 Bestuurlijke vernieuwing

Er is in de Nederlandse samenleving een groeiende belangstelling voor het functioneren van de overheid. Dit wordt ingegeven door de ene na de andere overheidsorganisatie die in opspraak komt vanwege het slechte functioneren. Als voorbeelden kunnen genoemd worden het debacle rond de HSL, waarbij de daadwerkelijke kosten door slecht projectmanagement exorbitant stegen ten opzichte van de geraamde kosten, de vuurwerkramp in Enschede, waar de gemeente

Enschede het verwijt kreeg geen goede controle te hebben uitgevoerd op de opslag van vuurwerk, en de cafébrand in Volendam, waar de gemeente op de gebrekkige inspectie van horecagelegenheden werd aangesproken. En de recent aan het licht gekomen misstanden bij het Ministerie van Onderwijs, waar onder andere ‘spookambtenaren’ salaris ontvangen zonder daarvoor te werken.

Behalve in de samenleving is ook binnen de overheid zelf veel aandacht voor de kwaliteit van het bestuur, transparantie en verantwoording over het gevoerde beleid. Deze ontwikkeling staat bekend onder de termen public governance of government governance en kan worden gezien als de publieke tegenhanger van wat in de private wereld corporate governance heet. Governance richt zich op de belanghebbenden van een organisatie, de bijbehorende doelen en de

verantwoordelijkheid van het management om die doelen te behalen. Hierbij gaat het erom hoe wordt verzekerd dat doeltreffend en doelmatig wordt gewerkt en dat verantwoording wordt afgelegd over geleverde prestaties.

Er zijn tal van ontwikkelingen te zien binnen de overheid die deze trend van het creëren van een waarborg voor het behalen van beleidsdoelstellingen moeten stimuleren. Door middel van een resultaatgericht sturingsmodel worden doelmatigheidsverbeteringen beoogd.

Er zullen nu enkele ontwikkelingen in dit proces worden besproken.

Een eerste stap in de richting van betere begroting en verantwoording is de regeringsnota “Van beleidsbegroting tot beleidsverantwoording” (VBTB). Deze nota heeft tot doel in zowel begroting als verantwoording van de rijksoverheid de doelen, prestaties en gebruikte middelen in

onderlinge samenhang te presenteren. Er wordt dan dus een beter verband gelegd tussen wat het beoogde doel is, wat het daadwerkelijke gehaalde resultaat is en wat de kosten daarvoor zijn geweest.

Een andere ontwikkeling is de Comptabiliteitsvoorschriften 2004. Deze voorschriften stellen eisen aan de begroting en het jaarverslag van provinciën en gemeenten, zodanig dat deze voor

belanghebbenden de benodigde informatie opleveren. Eén van de onderdelen is de paragraaf

(10)

weerstandsvermogen, waarin zij verplicht worden het benodigde eigen vermogen voor continuïteit en efficiency van de activiteiten te heroverwegen.

Tenslotte is er nog de instellingsprocedure voor de baten- lastendiensten, beter bekend als agentschappen. Hierin zijn bepalingen opgenomen die voorwaarden stellen aan de

bedrijfsvoering, zodat deze ook hier weer is gericht op sturen en beheersen, zodat doelstellingen worden gehaald.

De drie bovengenoemde ontwikkelingen geven een beeld van de actualiteit van het thema bestuurlijke vernieuwing. Er wordt duidelijk gewerkt aan de kwaliteit van het bestuur binnen de overheid.

1.3 Risicomanagement

In dit kader van bestuurlijke vernieuwing groeit ook de aandacht voor risicomanagement binnen de overheid.

Risicomanagement kan namelijk worden gezien als een onderdeel van corporate governance.

Het kan gedefinieerd worden als een proces, dat redelijke zekerheid verschaft omtrent het behalen van organisatiedoelstellingen1. Het is gericht op het identificeren en beheersen van bedreigingen voor het behalen van doelstellingen. Het biedt daarom kansen om de effectiviteit van een organisatie te vergroten.

Aangezien de op handen zijnde bestuurlijke vernieuwing draait om het vergroten van effectiviteit en efficiency is risicomanagement een instrument dat daar in past.

Risicomanagement komt dan ook aan bod in de al eerder genoemde ontwikkelingen.

De weerstandsparagraaf, die onderdeel is van de comptabiliteitsvoorschriften, bevat als verplicht onderdeel het identificeren van risico’s. Risicomanagement is ook een onderdeel van de

instellingsprocedure voor agentschappen.

Voor een deel van de overheidsorganisaties is er dus al een verplichting op het gebied van risicomanagement of in elk geval risico-identificatie. In het kader van de deregulering is er echter geen verplichte methode om dit te doen en dus kunnen deze organisaties zelf invulling geven aan risicomanagement.

Stemmen uit de praktijk laten weten dat ook andere overheidsorganisaties interesse hebben getoond in risicomanagement. Vaak weten zowel de eerste groep, voor wie risicomanagement dus al verplicht is, als de tweede groep organisaties, waarvoor dat niet zo is, echter niet goed hoe zij hier in de praktijk invulling aan moeten geven.

1.4 Ministerie van Financiën

Ook vanuit het Ministerie van Financiën wordt door de Directie Accountancy Rijksoverheid (DAR) aandacht besteed aan risicomanagement. De DAR onderkent dat risicomanagement een

essentiële schakel vormt in het aansturen en beheersen van processen.

Door het Ministerie van Financiën is geconstateerd dat er veel verschillende vormen van risicomanagement worden toegepast en er dus sprake is van maatwerk. De behoefte bij het management bestaat om dit proces te structureren, transparanter te maken en te verbeteren.

Vanuit het oogpunt van deregulering faciliteert het Ministerie van Financiën bij het implementeren van risicomanagement door onder andere kennis te distribueren. Door hun grote netwerk en opgebouwde expertise wordt vaak om begeleiding gevraagd en tracht de DAR de kennis te delen met behulp van kenniskringen en het aanreiken van best practices.

1 The Committee of the Treadway Commission of Sponsoring Organization, 2003: 3

(11)

Hieruit is de vraag ontstaan hoe de stand van zaken met betrekking tot risicomanagement is bij de overheid. Het ministerie zou graag weten wat het uitgangspunt zou zijn voor een

veranderingsproces naar de gewenste aanpak voor risicomanagement.

Wanneer dit bekend is zal deze informatie als vervolgstap kunnen worden verwerkt tot een benchmark, waaraan overheidsorganisaties zich kunnen meten en kunnen afleiden waar verbeterpunten liggen.

Ook kan zo worden vastgesteld welke overheidsorganisaties welke onderdelen van

risicomanagement goed beheersen om zo als ”best practice” te kunnen fungeren. Organisaties kunnen op die manier van de kennis van elkaar leren en profiteren.

1.5 Ernst & Young

Behalve het Ministerie van Financiën is ook de afdeling Business Risk Services van Ernst &

Young geïnteresseerd in een inventarisatie op het gebied van de toepassing van

risicomanagement bij de overheid. Deze afdeling adviseert bedrijven o.a. bij het invoeren van een geïntegreerde aanpak van risicomanagement.

Zij heeft geconstateerd dat de overheid een groeiende afzetmarkt voor deze diensten is. Er is echter voor de sector overheid nog maar weinig bekend over de toepassing van

risicomanagement. Daarom is er ook vanuit Ernst & Young interesse voor het uitvoeren van een scan in deze sector.

Aan de hand van de resultaten van het onderzoek kan Ernst & Young bepalen welk niveau van risicomanagement bij overheidsorganisaties aanwezig is en haar diensten hierop afstemmen, zodat deze beter aansluiten bij de situatie in deze sector. Ook zij ziet, net als de DAR, dit onderzoek als een bepaling van een uitgangspunt voor en veranderingsproces naar een betere en geïntegreerde aanpak van risicomanagement. Voordat het proces van verandering in gang gezet kan worden zal namelijk eerst de huidige stand van zaken in kaart moeten worden gebracht.

Tenslotte wil Ernst & Young met dit onderzoek risicomanagement onder de aandacht brengen bij overheidsorganisaties en een soort bewustwording binnen het management daarvan

bewerkstelligen, zodat zij de toegevoegde waarde van risicomanagement gaan inzien, uiteraard met als oogmerk het creëren van een afzetmarkt.

1.6 Opbouw van het verslag

In het volgende hoofdstuk zullen allereerst de probleemverkenning en probleemstelling volgen, waarna de onderzoeksopzet aan bod zal komen.

In hoofdstuk drie wordt de theorie betreffende integraal risicomanagement en de aspecten daarvan, die in het bijzonder van belang zijn voor dit onderzoek, behandeld.

Vervolgens zal in hoofdstuk vier worden beschreven wat onder overheid wordt verstaan in dit onderzoek en wat de voordelen van integraal risicomanagement zijn voor overheidsorganisaties.

In de daarop volgende hoofdstukken zullen de resultaten van de dataverzameling worden weergegeven en geanalyseerd om inzicht te verkrijgen in de toepassing van risicomanagement bij overheidsorganisaties. Tenslotte zal een conclusie worden getrokken en zullen enkele aanbevelingen worden gedaan voor de ontwikkeling van integraal risicomanagement binnen overheidsorganisaties.

(12)

Hoofdstuk 2

Onderzoeksopzet

2.1 Probleemverkenning

Na de aanleiding en context van het onderzoek te hebben geschetst is het tijd voor een precieze definiëring van het te onderzoeken probleem: een probleem wordt gedefinieerd als een verschil tussen een bestaande en een gewenst situatie2.

De probleemhebber is in dit geval Ernst & Young. In het navolgende zal worden toegelicht waaruit het probleem bestaat, waarom Ernst & Young dit als probleem ervaart en wat de gevolgen zijn van het probleem.

De bestaande situatie is zo dat er weinig inzicht is in de toepassing van integraal

risicomanagement binnen overheidsorganisaties. Wel is bekend dat er groeiende aandacht voor is vanuit de organisaties en dat het ook hier en daar al wordt toegepast. Op welk niveau in de organisatie dit wordt toegepast en of dit een integrale aanpak is zijn bijvoorbeeld dingen die niet bekend zijn.

Om de sector overheid diensten te kunnen verlenen, die optimaal afgestemd zijn op de markt is het noodzakelijk te weten hoe de situatie op dit moment is om zo een beginpunt voor een proces van verandering te bepalen. Vervolgens kunnen de diensten aangepast worden aan die situatie en kan worden bepaald in welke aspect van de dienstverlening het beste kan worden

geïnvesteerd.

De gewenste situatie voor Ernst & Young is er dus een, waarin inzicht bestaat in de mate van toepassing van integraal risicomanagement bij overheidsorganisaties om een uitgangspositie voor verandering te bepalen, waarop diensten kunnen worden afgestemd.

Deze verkenning van de huidige situatie kent meerdere aspecten.

Een eerste aspect is het vaststellen van het belang dat de organisaties aan de effectuering van integraal risicomanagement hechten. Dit is het beginpunt van een proces van verandering naar een optimaal risicomanagement systeem. Voordat een redelijk niveau van risicomanagement kan worden bereikt, zal binnen een organisatie namelijk eerst een veranderingseis moeten worden vastgesteld3. Dit houdt in dat het besef zal moeten bestaan dat verandering noodzakelijk is. Het management van de organisatie zal moeten inzien, dat door de veranderende maatschappij en eisen vanuit de politiek de bedrijfsvoering aangepast zal moeten worden.

Daarna moet risicomanagement als de veranderingsrichting worden gekozen4. De realisatie zal moeten ontstaan dat risicomanagement in deze situatie toegevoegde waarde kan bieden en een geschikte manier is om deze verandering te bewerkstelligen.

Wanneer dit besef niet aanwezig is zal een organisatie waarschijnlijk slechts over een zeer beperkte vorm van risicomanagement beschikken, namelijk over het natuurlijke deel dat elke organisatie bezit. Hierbij gaat het bijvoorbeeld om verzekeren en het maken van strategische afwegingen. In dat geval zal Ernst & Young voor de taak staan bewustwording van de toegevoegde waarde, die risicomanagement kan bieden, te creëren.

Nadat is vastgesteld in hoeverre deze eerste stappen van een veranderingsproces zijn gezet, zal als tweede aspect de invulling van risicomanagement aan bod komen.

Dit is geoperationaliseerd door naar de aanwezigheid van de kritische elementen van een risicomanagement systeem te kijken. Dit zijn elementen die aanwezig moeten zijn wil er sprake kunnen zijn van een effectief integraal risicomanagement. Deze aanwezigheid is een indicator voor de toestand waarin het aanwezige risicomanagement op de potentiële markt verkeert. In

2 De leeuw, 1997: 208

3 Van Duren en Van Manen, 1995: 57

4 Van Duren en Van Manen, 1995: 57

(13)

combinatie met het eerste aspect kan vast worden gesteld in welk stadium van ontwikkeling naar een perfect systeem van risicomanagement de overheid zich bevindt.

Naast het verkennen van de markt heeft dit onderzoek ook tot doel het verrichten van een nulmeting, waaraan de resultaten van toekomstig onderzoek zich kunnen meten.

De resultaten van het onderzoek zullen door overheidsorganisaties kunnen worden gebruikt als een benchmark. Een bechmark is een instrument, dat wordt gebruikt voor continue verbetering van organisaties, door het beoordelen van bestaande situatie en die te vergelijken met een standaard5. Dit onderzoek zal die standaard voor overheidsorganisaties op het gebied van risicomanagement opleveren.

Een nevendoel ervan is het bepalen van een best practice, door vergelijking van organisaties met de benchmark zal de organisatie met het beste risicomanagement systeem kunnen worden geïdentificeerd.

De onderzoeksresultaten geven de beginpositie voor verandering weer, er kan uit worden afgeleid welke elementen van risicomanagement onderbelicht zijn en welke elementen wel in voldoende mate aanwezig zijn.

2.2

Probleemstelling

De doelstelling dient om duidelijk te maken wat het probleem is en welke resultaten van het onderzoek verwacht kunnen worden. Hieronder zullen twee doelstellingen worden weergegeven, namelijk die van de opdrachtgever en die van het onderzoek. Dit is gedaan, omdat de

opdrachtgever met het onderzoek enkele nevendoelstellingen nastreeft, die voor het uitvoeren van het onderzoek niet van belang zijn. Bij het eigenlijke onderzoek ligt de nadruk dus op andere zaken, die zijn weergegeven in een aparte doelstelling.

De doelstelling van de opdrachtgever is als volgt:

Het doel van dit onderzoek is het verschaffen van inzicht in de mate van toepassing van integraal risicomanagement in de overheidssector, teneinde een uitgangspositie voor een proces van verandering te bepalen en de dienstverlening van Business Risk Services hierop aan te passen.

Daarbij heeft dit onderzoek als doel het onder de aandacht brengen en het creëren van draagvlak voor integraal risicomanagement bij overheidsorganisaties.

De doelstelling van het onderzoek is:

Het verschaffen van inzicht in de mate waarin overheidsorganisaties integraal risicomanagement toepassen en in een bij de betreffende organisaties passende norm, waaraan zij zich kunnen meten, en het doen van aanbevelingen voor de ontwikkeling van integraal risicomanagement binnen overheidsorganisaties.

De vraagstelling die hieruit kan worden geformuleerd luidt:

Wat zijn de voordelen van integraal risicomanagement voor overheidsorganisaties en in welke mate wordt risicomanagement er toegepast? Zijn er daarbij op grond van de bestaande kennis voor betreffende organisaties aanbevelingen te doen voor de ontwikkeling van integraal risicomanagement binnen overheidsorganisaties?

5 McNair, C.J., en K.H.J. Leibfried, Benchmarking, a tool for continuous improvement, Oliver Wight Publications Inc., Essex Junction, 1992: 1

(14)

2.3 Conceptueel model en deelvragen

Een conceptueel model is een grafische weergave van het onderzoek en bevat de volgende elementen6:

Afbakening van onderzoekselementen

Selectie van eigenschappen

Formulering van de relaties tussen de eigenschappen

HIeronder is het conceptuele model voor dit onderzoek weergegeven in figuur 1.

Figuur 1: Conceptueel model

Afbakening en aggregatieniveau

De onderzoekselementen in dit onderzoek zijn overheidsorganisaties. In hoofdstuk vier wordt nader in gegaan op wat wordt verstaan onder de overheid. Bij de onderzoeksmethode, die later in dit hoofdstuk aan bod komt, zal worden weergegeven welke overheidsorganisaties zijn benaderd voor deelname aan dit onderzoek en op welke manier deze selectie is gemaakt.

Het aggregatieniveau geeft de mate van detaillering van het onderzoek aan7. In dit onderzoek in het aggregatieniveau hoog, wat wil zeggen dat de mate van detaillering laag is. Aangezien het gaat om het verkrijgen van inzicht in de invulling van risicomanagement bij veel verschillende soorten organisaties is het namelijk niet mogelijk in detail op het onderwerp in te gaan. Hiervoor is het onderzoeksveld te breed en de tijd te beperkt. Er zal alleen worden gekeken naar de organisatorische inrichtingseisen en niet naar het daadwerkelijke proces. De inrichtingseisen die in dit onderzoek zijn gehanteerd gelden voor alle soorten organisaties.

Selectie van eigenschappen

In dit onderzoek wordt naar verschillende aspecten van risicomanagement binnen overheidsorganisaties gekeken.

6 Jonker en Pennink, 2000: 38

7 De Leeuw, 1990: 69

Uitgangspositie Integraal risicomanagement

Aanwezigheid voorwaarden risicomanagement Bewustzijn

toegevoegde waarde risicomanagement

Overheidsorganisaties

Theoretisch raamwerk risicomanagement

Aanbevelingen voor ontwikkeling risicomanagement Voordelen integraal

risicomanagement

(15)

Allereerst zal er worden behandeld wat de voordelen van implementatie van integraal

risicomanagement zijn voor overheidsorganisaties. Vervolgens zal het aanwezige bewustzijn voor de noodzaak voor een verandertraject naar integraal risicomanagement worden belicht.

Een ander aspect is de aanwezigheid van de zes voorwaarden van effectief integraal

risicomanagement. Tenslotte zullen aanbevelingen voor de ontwikkeling van risicomanagement aan bod komen.

De relaties tussen de eigenschappen zijn met pijlen weergegeven in het model.

Uit de probleemstelling en het conceptuele model volgen de volgende deelvragen:

1 Wat is integraal risicomanagement en wat zijn de voorwaarden voor effectief risicomanagement?

2 Wat wordt verstaan onder overheidsorganisaties in dit onderzoek?

3 Wat zijn de voordelen van integraal risicomanagement voor overheidsorganisaties?

4 In welke mate is het management van overheidsorganisaties zich bewust van de

noodzaak tot verandering en de toegevoegde waarde die risicomanagement kan bieden?

5 In welke mate zijn de voorwaarden voor integraal risicomanagement aanwezig in overheidsorganisaties?

6 Welke aanbevelingen kunnen worden geformuleerd voor de ontwikkeling van integraal risicomanagement binnen overheidsorganisaties?

2.4 Randvoorwaarden

De randvoorwaarden geven de beperkingen waaraan onderzoeksresultaten en methode onderhevig zijn aan8. De randvoorwaarden voor dit onderzoek zijn:

• Bij bepaling van de mate van toepassing van integraal risicomanagement dient te worden uitgegaan van het Enterprise Risk Management Framework van Ernst & Young, zodat publicatie van de onderzoeksresultaten aan de hand van deze methode kan

plaatsvinden.

• De resultaten van de survey worden in een seminar gepresenteerd aan de deelnemers van de survey en overige genodigden.

• Het eindproduct dient te voldoen aan de eisen die de faculteit Bedrijfskunde van de Rijksuniversiteit Groningen aan een afstudeeropdracht stelt.

2.5 Onderzoekstype

Er zijn verschillende onderzoekstypen, namelijk beleidsondersteunend, probleemoplossend, wetenschappelijk en een mengvorm van de voorgaande drie9.

Zoals uit voorgaande beschrijving valt af te leiden gaat het in dit geval om een

beleidsondersteunend onderzoek. Beleidsondersteunend onderzoek levert namelijk concrete kennis op, die bruikbaar is in een specifieke situatie10. Met dit onderzoek wordt een bijdrage geleverd aan het verkrijgen van een beeld van de situatie op het gebied van integraal

risicomanagement in de overheidssector, zodat de diensten van Ernst & Young daar beter op kunnen worden afgestemd.

Daarmee kan het onderzoek ook getypeerd worden als praktijkgericht, daar het een oplossing levert voor een praktijkprobleem.

Een derde manier van typeren van het onderzoek is te stellen dat het om een kwantitatief onderzoek gaat. Bij kwantitatief onderzoek wordt onderzocht in hoeverre iets aanwezig is11. In dit

8 De Leeuw, 2001: 85

9 De Leeuw, 2001: 77

10 De Leeuw, 2001: 76

11 Jonker en Pennink, 2000: 36

(16)

geval is dat de aanwezigheid van integraal risicomanagement en interesse daarin. Het gaat om het toetsen van een situatie aan een bestaande theorie. Aan de hand van theorie zullen namelijk criteria voor de te onderzoeken elementen worden bepaald, die daarna worden getoetst op aanwezigheid bij overheidsorganisaties.

2.6 Onderzoeksmethode

2.6.1 Gegevensbronnen

Voor het beantwoorden van de vijf deelvragen maak ik gebruik van verschillende gegevensbronnen.

• theoretische literatuur;

• interne documenten van Ernst & Young;

• vergelijkbare onderzoeken, met name voor het opstellen van de vragenlijst;

• diverse publicaties op het gebied van risicomanagement en

• documenten geproduceerd door diverse overheidsorganisaties.

2.6.2 Dataverzamelingsmethoden Survey

Behalve door bestudering van de genoemde gegevensbronnen is informatie verzameld door het uitzetten van een survey.

Gezien het relatief grote aantal onderzoekseenheden is een kwalitatieve manier van

informatieverzameling minder geschikt, omdat dit te tijdrovend zou zijn, en dus is gekozen voor kwantitatieve manier in de vorm van een surveyonderzoek. De belangrijkste kenmerken van een survey onderzoek zijn, dat

de mate waarin een verschijnsel voorkomt onderzocht wordt, relatief veel personen worden benaderd,

naar relatief veel kenmerken wordt gevraagd en

deze kenmerken meningen, motieven, ideeën en persoonskenmerken bevatten12. Deze vier kenmerken zijn allen van toepassing in dit onderzoek. Het betreft immers onderzoek naar de mate waarin integraal risicomanagement wordt toegepast bij overheidsorganisaties. Er zijn 149 organisaties benaderd om deel te nemen aan de survey, waarin naar hun mening betreffende de aanwezigheid van een groot aantal onderdelen van integraal risicomanagement is gevraagd.

Onderzoekseenheden zijn de eenheden, waarover in het onderzoek uitspraken worden gedaan, de waarnemingseenheden zijn de elementen, waarbij de informatie verzameld wordt13. In dit onderzoek zijn de onderzoekseenheden overheidsorganisaties.

De totale populatie van overheidsorganisaties is meer dan 1600 eenheden groot, in verband met de beperkte tijd kon slechts een deel daarvan kon worden benaderd om deel te nemen aan het onderzoek. Wanneer een deel van de populatie in het onderzoek wordt betrokken wordt een steekproef genomen14.

Daarbij is een selectie gemaakt van overheidsorganisaties aan de hand van enkele criteria. Wat allereerst een rol heeft gespeeld is de grootte van de organisatie. Voor de implementatie van integraal risicomanagement, zoals het in de survey aan bod is gekomen, heeft een organisatie een zekere omvang nodig. Uiteraard vindt ook in kleinere organisaties risicomanagement plaats, maar daar zal de verantwoordelijkheid daarvoor bij een of enkele personen liggen, die door middel van korte en directe communicatielijnen op de hoogte blijven van de stand van zaken. Dit heeft tot gevolg dat de opzet van het risicomanagement binnen de organisatie anders is dan bij

12 Korzilius, H., De kern van survey-onderzoek, Van Gorcum, Assen, 2000: 9

13 Billiet, J.B., Methoden van sociaal-wetenschappelijk onderzoek: ontwerp en dataverzameling, Acco, Leuven / Amserfoort, vijfde druk, 1994: 48

14 Baarda en de Goede, 2001: 150

(17)

een grotere organisatie en dus zullen niet alle onderdelen die in de survey aan bod komen op hen van toepassing kunnen zijn, denk daarbij bijvoorbeeld aan rapportagestructuren. Hierdoor zouden de resultaten negatief beïnvloedt kunnen worden en zou een verkeerd beeld kunnen ontstaan. De grens, die is bepaald in overleg met risicomanagement experts binnen Ernst &

Young, is gelegd bij organisaties met meer dan honderd medewerkers.

Een ander kenmerk is de aard van de organisatie. Voor bepaalde organisatiesoorten zal het namelijk minder noodzakelijk zijn over een effectief systeem van integraal risicomanagement te beschikken. Dit hangt samen met de dynamiek en diversiteit van de activiteiten van de

organisatie en de mate waarin de externe omgeving invloed heeft op de organisatie. Zo hebben de Hoge colleges van Staat, zoals de Raad van State een beperkt takenpakket, dat lange tijd hetzelfde is en wat weinig invloeden van buitenaf ondervindt. Het is daarom niet waarschijnlijk bij hen enige vorm van structureel risicomanagement aan te treffen. Weliswaar is het vermoedelijk ontbreken ervan geen reden om de organisatie niet in de survey te betrekken, maar aangezien de verwachting bestond, dat in dergelijke organisatie ook geen interesse voor integraal

risicomanagement zal bestaan en zij dus niet zullen deelnemen aan de survey, is ervoor gekozen hen niet te benaderen.

Omdat het onmogelijk is alle 1600 organisaties afzonderlijk op deze twee kenmerken te beoordelen, is er voor gekozen eerst een selectie naar organisatiesoort te maken en binnen de geschikte organisatiesoorten een selectie van te benaderen organisaties. Aangezien voor het maken van deze selectie ervaring op het gebied van implementatie van integraal

risicomanagement en kennis van de sector overheid een vereiste is, is deze selectie gemaakt door de partner binnen Business Risk Services verantwoordelijk voor de sector overheid. De geselecteerde organisaties zijn:

• Ministeries (13)

• Gerechtshoven (4)

• Ressortsparketten (5)

• Provincies (12)

• Grotere gemeenten (57)

• Grotere agentschappen (15)

• Grotere zelfstandige bestuursorganen (ZBO’s) (19)

• Grotere waterschappen (24)

De uiteindelijke steekproef bestond daarmee uit 149 organisaties. Daarbinnen zijn vervolgens waarnemingseenheden geselecteerd. Daarbij ging het om personen binnen het hoogste management van de organisaties, met een algemene of financiële functie. Dit is allereerst

gedaan omdat aansturing en coördinatie van risicomanagement op het hoogste niveau essentieel zijn voor het slagen ervan en dit uiteraard alleen daar gemeten kan worden. Ten tweede gaat dit onderzoek om de aanwezigheid van verschillende elementen van integraal risicomanagement, die door de gehele organisatie zouden moeten lopen. Alleen hoger geplaatsten hebben hier zicht op en zijn dus in staat de vragen te beantwoorden. Daarbij was de ervaring binnen Business Risk Services, dat risicomanagementactiviteiten veelal nog door financiële afdelingen worden

ondernomen.

De survey is afgenomen via internet. De 149 potentiële deelnemers zijn door middel van een e- mail benaderd, waarin werd gevraagd deel te nemen en waarin tegelijk een link naar een internetsite met de survey was opgenomen. Het uitzetten van de survey op internet heeft als bijkomende voordelen dat de deelnemers de survey in kunnen vullen op een moment dat het hen uitkomt en dat door het digitaal afnemen de resultaten van de enquête direct na invulling bekend en makkelijker te analyseren zijn.

Omdat integraal risicomanagement een relatief nieuw managementgebied is, is bij de survey een uitleg van diverse termen en begrippen gegeven om verwarring te voorkomen. De survey

bestond uit 41 vragen. In paragraaf 2.6.3 wordt nader toegelicht hoe de survey is op gesteld.

Seminar

De resultaten van de survey zijn in een seminar gepresenteerd aan een aantal van de respondenten en overige genodigden uit het hoogste management van diverse

(18)

overheidsorganisaties. Tijdens dit seminar is met de deelnemers gediscussieerd over de resultaten. Naast een zekere mate van validatie van de resultaten heeft dit tevens zeer interessante achtergrondinformatie opgeleverd. Deze informatie is bij de onderzoeksresultaten weergegeven.

2.6.3 Opstellen van de survey

De belangrijkste dataverzamelingsmethode voor dit onderzoek is de survey op internet geweest.

De vragenlijst zoals die op internet is afgenomen is opgenomen in Bijlage I.

De survey is opgesteld aan de hand van het Ernst & Young Enterprise Risk Management Framework. Dit raamwerk bevat vier basisprincipes en zes kritische elementen voor effectief organisatiebreed risicomanagement. Deze zes kritische elementen bestaan weer uit diverse onderdelen. Het model wordt inhoudelijk behandeld in het volgende hoofdstuk.

Om inzicht te krijgen in de mate waarin integraal risicomanagement wordt toegepast bij

overheidsorganisaties zijn per kritisch element de onderdelen van dit raamwerk geïdentificeerd.

In verband met de lengte van de vragenlijst was het niet mogelijk alle onderdelen erin op te nemen en dus is een selectie gemaakt van de onderdelen die de belangrijkste bijdrage aan het functioneren van risicomanagement leveren.

Vervolgens is per onderdeel een stelling geformuleerd betreffende de aanwezigheid ervan in de organisatie. Door de respondenten op een vijfpuntsschaal de mate waarin men het eens was met deze stelling aan te laten geven, ontstaat een beeld van de aanwezigheid van de diverse

onderdelen van het raamwerk.

Voordat de vragenlijst is uitgezet, is deze beoordeeld door medewerkers van de DAR van het Ministerie van Financiën. Dit omdat het raamwerk niet specifiek voor overheidsorganisaties is opgesteld en de vragen daar dus op aangepast dienden te worden. Daarnaast is de vragenlijst beoordeeld door risicomanagementspecialisten binnen Ernst & Young.

2.7 Onderzoeksontwerp

In deze paragraaf zal per deelvraag worden aangegeven op welke manier en met behulp van welke bronnen informatie is verzameld om deze te beantwoorden.

Deelvraag1: Wat is integraal risicomanagement en wat zijn de voorwaarden voor effectief risicomanagement?

In hoofdstuk drie zal antwoord worden gegeven op deze deelvraag. Daarmee zal inzicht worden gegeven in de historie en recente ontwikkelingen op het gebied van integraal risicomanagement, waarbij theorie betreffende corporate governace aan bod zal komen.

Daarnaast zal inhoudelijk op integraal risicomanagement in worden gegaan aan de hand van literatuur, publicaties en andere documenten.

Vervolgens zullen de voorwaarden voor effectief risicomanagement worden ontleend aan het Ernst & Young Enterprise Risk Management Framework, waarna dit raamwerk ter validatie zal worden vergeleken met het raamwerk dat onlangs is gepubliceerd door het COSO Committee15.

Deze deelvraag zal geheel aan de hand van desk research worden beantwoord.

Deelvraag 2: Wat wordt verstaan onder overheidsorganisaties in dit onderzoek?

Om een beeld te krijgen van de ontwikkelingen binnen de overheid zullen, na een toelichting van het begrip overheid, de ontwikkelingen op het gebied van New Public Management en public governance worden behandeld. Tevens is hiervoor gebruik gemaakt voor verschillende

15 The Committee of Sponsoring Oranizations of the Treadway Commission, Enterprise Risk Management Framework , juli 2003

(19)

documenten en publicaties geproduceerd door overheidsorganisaties. Ook hier betreft het desk research. Deze informatie is opgenomen in hoofdstuk vier.

Deelvraag 3: Wat zijn de voordelen van integraal risicomanagement voor overheidsorganisaties?

Overheidsorganisaties verschillen op bepaalde punten van private organisaties. Aangezien het risicomanagement raamwerk is ontworpen voor private organisaties, zullen in hoofdstuk vier aan de hand van theorie op het gebied van overheidsmanagement ook de specifieke kenmerken van overheidsorganisaties worden behandeld. Hierna wordt aangegeven welke gevolgen dit heeft voor de toepassing van integraal risicomanagement. Tenslotte zullen dan de voordelen van integraal risicomanagement voor overheidsorganisaties worden behandeld.

Deelvraag 4: In welke mate is het management van overheidsorganisaties zich bewust van de noodzaak tot verandering en de toegevoegde waarde die risicomanagement kan bieden?

Het doel van deze deelvraag is het verschaffen van inzicht inde mate waarin integraal risicomanagement binnen overheidsorganisatie wordt gezien als managementinstrument dat waarde toe kan voegen en dus geïmplementeerd moet worden. Hiervoor wordt in hoofdstuk vijf gebruikt gemaakt van theorie betreffende veranderingsmanagement om een theoretisch kader neer te zetten, waarna aan de hand van de resultaten van de survey de stand van zaken zal worden geschetst.

Deelvraag 5: In welke mate zijn de voorwaarden voor integraal risicomanagement aanwezig in overheidsorganisaties?

De beantwoording van deze deelvraag in hoofdstuk zes en zeven zal een beeld moeten geven van de toepassing van integraal risicomanagement binnen overheidsorganisaties. Dit zal gebeuren door aan de hand van de resultaten van de survey weer te geven in welke mate de onderdelen van het raamwerk, behandeld in hoofdstuk drie, aanwezig zijn. Vervolgens zullen in hoofdstuk zeven de onderzoeksresultaten verder worden geanalyseerd, waarna

overheidsorganisaties op basis van deze informatie in een groeimodel voor integraal risicomanagement worden geplaatst.

Deelvraag 6: Welke aanbevelingen kunnen worden geformuleerd voor de ontwikkeling van integraal risicomanagement binnen overheidsorganisaties?

Nadat in hoofdstuk zeven een conclusie op het gebied van de mate van toepassing van integraal risicomanagement binnen overheidsorganisaties is getrokken, zullen in dit hoofdstuk enkele aanbevelingen worden gedaan om de ontwikkeling ervan te bespoedigen.

(20)

Hoofdstuk 3:

Risicomanagement

3.1

Inleiding

In dit hoofdstuk zal nader inhoudelijk worden ingegaan op risicomanagement, daarbij wordt antwoord gegeven op de eerste deelvraag. Uiteengezet zal worden wat integraal

risicomanagement is en wat de voorwaarden voor effectief risicomanagement zijn. Daaraan vooraf zal eerst het begrip risico worden behandeld, vervolgens zullen de historie en recente ontwikkelingen op het gebied van risicomanagement aan bod komen.

3.2

Risico nader gedefinieerd

Er bestaan veel definities van het begrip risico. Verschillende disciplines gebruiken verschillende definities van risico. Zo zal een verzekeraar een andere definitie hanteren dan een econoom. In deze scriptie zal de definitie van risico, zoals die in het door The Committee of Sponsoring Organizations of the Treadway Commission (COSO) in juli 2003 gepubliceerde rapport getiteld Enterprise Risk Management Framework staat (p3), worden gebruikt:

Een risico is elke mogelijke gebeurtenis die het behalen van doelstellingen beïnvloedt.

De genoemde definitie geeft de twee elementen waaruit een risico bestaat weer16. Allereerst geeft het woord mogelijk aan dat er onzekerheid bestaat omtrent het al dan niet voordoen van de gebeurtenis. Het staat niet vast dat de gebeurtenis wel of niet gaat gebeuren.

Ten tweede gaat het om een ongewild gevolg, namelijk beïnvloeding van het behalen van doelstellingen. Daarmee kan een risico niet alleen een bedreiging zijn, zoals risico nog vaak wordt opgevat, maar ook een gemiste kans. Het niet doorvoeren van verbeteringen heeft immers ook gevolgen voor de mate waarin doelstellingen worden behaald.

Een risico bestaat dus uit de kans dat de gebeurtenis zich voordoet en de gevolgen die die gebeurtenis met zich meebrengt. Dit is weergegeven in onderstaande formule.

Risico = Kans X Gevolg17

Hierbij kunnen zowel de kans als het gevolg in grootte verschillen. Vaak zijn beiden echter moeilijk te meten wat het bepalen van de hoogte van het risico bemoeilijkt.

Risico’s komen voort uit onzekerheid18. Onzekerheid over de uitkomst van het ondernemen van een actie of het achterwege laten daarvan. De uitkomst van een actie kan daarbij zowel positief als negatief zijn. Elke actie in een mensenleven kent een zeker risico en dus een zekere mate van onzekerheid. Een van de belangrijkste behoeften van de mens is de behoefte aan

zekerheid19. Als gevolg hiervan wil men risico's zo ver mogelijk terugdringen. Zonder dit te doen overkomt je namelijk van alles, maar wanneer je alle risico’s afdekt is vooruitgang onmogelijk.

Daarom wordt niet elk risico onvrijwillig gelopen, aangezien het nemen van risico ook een positieve uitkomst kan hebben.

16 Vaughan, 1997: 8

17 AIRMIC, IRM en Alarm, 2002: 1

18 Vaughan, 1997: 9

19 Claes, 2000, 9

(21)

Dit principe geld ook voor organisaties. Een organisaties die haar risico’s niet goed beheerst zal op termijn verdwijnen20. Maar ook wanneer zij geen risico’s neemt is een organisatie een kort leven beschoren. Ondernemen is immers verantwoord risico’s nemen. De kunst is nu om hier een balans te zoeken. Dit kan door het in kaart brengen van alle risico’s waar een organisatie mee te maken heeft en het daarna maken van een afgewogen keuzen voor het beheersen ervan. Dit staat beter bekend als risicomanagement.

3.3 Historie risicomanagement

Risicomanagement is al zo oud al de weg naar Rome maar echter niet onder die naam. De term risicomanagement is pas later ontstaan21. Een van de eerste keren dat deze benaming werd gebruikt was in een artikel van de Harvard Business Review uit 1956, waarin het revolutionaire idee werd geopperd om één persoon binnen een organisatie verantwoordelijk te maken voor beheersing van risico’s22. Voor die tijd werd verzekeren gezien als dè manier om om te gaan met risico’s en het genoemde risicomanagement werd dan ook meer gezien als een uitbereiding van de taken van de verzekeringsmanager23.

In de jaren vijftig was in beperkte kringen een verschuiving waarneembaar in het risico-denken.

De vanzelfsprekendheid van verzekeren van risico’s maakte plaats voor het uitvoeren van kosten-batenanalyses waarbij, op basis van een wetenschappelijke benadering betreffende besluitvorming, bij onzekerheid een keuze werd gemaakt.

Op dat moment vinden namelijk ook in de academische wereld de eerste ontwikkelingen op het gebied van risicomanagement plaats, beginnend met de ontwikkeling van besluitvor-

mingstheorieën24. Academici, verzekeraars en managers komen allen tot de conclusie dat er efficiëntere manieren zijn om met risico’s om te gaan dan verzekeren, namelijk het voorkomen dat een gebeurtenis met negatief gevolg zich voordoet en het minimaliseren van de grootte van het verlies wanneer de gebeurtenis zich wel voordoet25.

Toch duurde het tot de jaren zeventig, voordat op grote schaal sprake is van een omslag in het risicomanagement zoals dat tot dan toe bestaat. Verzekeren is dan niet meer het eerste waaraan wordt gedacht26. In de jaren tachtig neemt de belangstelling voor het onderwerp enorm toe. In de jaren negentig zet deze trend zich verder voort. Managers gaan meer waarde hechten aan en hogere eisen stellen aan risico-informatie ten behoeve van het besluitvormingsproces27. Een groter inzicht in de gevolgen die een beslissing kan hebben is nodig, omdat de marges

waarbinnen gewerkt wordt steeds kleiner worden en zij het zich niet langer kunnen permitteren om onjuiste beslissingen te nemen.

3.4 Recente ontwikkelingen

3.4.1 Inleiding

Risicomanagement staat momenteel meer in de belangstelling dan ooit. Het staat hoog op de agenda binnen het bestuur van organisaties. Als gevolg schieten de adviesbureaus op het gebied van risicomanagement als paddestoelen uit de grond en het ene na het andere artikel over het onderwerp verschijnt. Deze versnelling van de ontwikkeling van het “risicomanagement denken”

20 Moorsel, van H. en C.A. Visser, 'Een theoretisch kader voor integraal risicomanagement', In Overheidsmanagement, februari 2003, p 44

21 Ministerie van Financiën, Wegwijzer agentschappen, 2002, p78

22 Vaughan, 1997: 27

23 Vaughan, 1997, 28

24 Vaughan, 1997: 28

25 Vaughan, 1997: 29

26 Claes, 1991:4

27 Ministerie van Financiën, Wegwijzer agentschappen, 2002, p79

(22)

is het gevolg van de toenemende aandacht voor corporate governance, waar risicomanagement een onderdeel van is28.

Hierna zullen enkele ontwikkelingen worden besproken, die hebben bijgedragen aan de

groeiende belangstelling voor corporate governance en uiteindelijk ook voor risicomanagement.

Nadat deze ontwikkelingen zijn besproken zal in de volgende paragraaf kort worden toegelicht wat corporate governance is en welke relatie het met risicomanagement heeft.

Allereerst is de afgelopen jaren sprake geweest van economische neergang. De geschiedenis leert ons, dat wanneer het slechter gaat met de economie er opeens meer aandacht is voor het beheersen van gebeurtenissen die van invloed zijn op de prestaties van een onderneming, omdat deze prestaties in mindere tijden sneller onder druk komen te staan.

Daarnaast zijn er een aantal geruchtmakende schandalen geweest in de afgelopen jaren, zoals de fraude bij de Baringsbank en de Enron affaire, die de aandacht hebben gevestigd op controle op ondernemingen. Zij hebben eraan bijgedragen dat aandeelhouders en andere

belanghebbenden organisaties tegenwoordig niet meer alleen waarderen op financiële gegevens, die iets zeggen over het verleden, maar dat zij ook geïnteresseerd zijn in de andere, veelal immateriële, waarden die iets zeggen over de toekomst29. Deze nieuwe waarden kunnen bijvoorbeeld de kwaliteit van de interne beheersing betreffen. Om het vertrouwen van deze belanghebbenden te behouden of terug te winnen is het noodzaak over een transparant en contoleerbaar risicobeheersingssysteem te beschikken.

Ook de Nederlandse overheid heeft haar aandeel affaires gehad, die in het volgende hoofdstuk aan de orde zullen komen, waardoor de aandacht voor haar prestaties en de manier waarop die zijn bereikt danig is gestegen.

Tenslotte is de hoeveelheid risico’s waar organisaties mee te maken krijgen toegenomen door de snelheid van de veranderingen in de omgeving, de toenemende globalisering en

internationalisering, ontwikkeling van de technologie en toenemende regelgeving en toezicht30. Al deze ontwikkelingen hebben als gevolg, dat het belang van toezicht, transparantie en verantwoording toeneemt. Er worden hogere eisen gesteld aan de bedrijfsvoering en de

verantwoording daarover. De beheersing binnen organisaties zal moeten worden verbeterd om in de steeds complexer wordende omgeving te kunnen overleven. Er moet met meer factoren rekening gehouden worden, wat besluitvorming moeilijker maakt, terwijl belanghebbenden de prestaties en de manier waarop die zijn bereikt steeds nauwlettender volgen. Een begrip wat hier nauw mee samenhangt is corporate governance.

3.4.2 Corporate governance

In april 1996 is op initiatief van de Vereniging voor Effectenhandel en de Vereniging Effecten Uitgevende Ondernemingen een Commissie Corporate Governance in het leven geroepen, met als taak het adviseren over ‘best practices’ op het gebied van corporate governance. De commissie stond onder leiding van drs. J.F.M. Peters, waardoor deze ook wel bekend staat als de Commissie Peters.

De Commissie Corporate Governance heeft coporate governance in haar rapport getiteld

“Corporate Governance in Nederland, de veertig aanbevelingen” (1997) als volgt gedefinieerd (p14):

“Corporate governance is een stelsel van omgangsvormen voor bij de vennootschap en haar onderneming betrokken direct belanghebbenden inhoudende een aantal regels voor goed bestuur en goed toezicht en regels voor een verdeling van taken,

verantwoordelijkheden en bevoegdheden die een evenwichtige invloed bewerkstelligen

28 Ernst & Young, Governing Your Values, Integraal risicomanagement, Een aspect van Corporate Governance, nummer 6 2003: 1

29 Ernst & Young, From Theory To Practice: Evolving Your Organisation’s Enterprise Risk Managaement Capability, 2003:

1

30 Barton, Shenkir en Walker, 2002: 2 en 3

(23)

van bij de vennootschap en haar onderneming betrokkenen. Uitganspunt is daarbij dat bestuurders en commissarissen over hun taakuitoefening- ook publiekelijke

verantwoording dienen af te leggen.”

In wat duidelijkere taal is de essentie van corporate governance goed ondernemerschap en toezicht daarop. Het bestuur van een onderneming draagt daarbij niet alleen verantwoording tegenover aandeelhouders, maar tegenover alle belanghebbenden in de maatschappij. Deze belanghebbenden hebben baat bij een goede interne beheersing en verantwoording daarover.

Ondanks dat de aanbevelingen geschreven zijn voor beursgenoteerde vennootschappen geldt dit principe niet alleen voor hen, ook de overige private en publieke organisaties hebben immers te maken met verschillende belanghebbenden en dus hebben zij ook te maken met governance.

Ook hierop wordt in hoofdstuk vier nader ingegaan.

Governance bestaat uit vier elementen, namelijk

• sturen;

• beheersen;

• toezicht houden;

• verantwoorden31.

Deze vier elementen zijn hieronder in figuur 2 weergegeven.

Sturen is het richting geven door onder andere het vormgeven van de organisatie en het inrichten van processen. Nadat de organisatie is ingericht moeten maatregelen en procedures worden getroffen om zekerheid te verschaffen omtrent het bereiken van de gestelde doelen, er zal moeten worden beheerst. Door toezicht houden zal worden vastgesteld dat de

doelstellingen zijn behaald en dat dus de belangen van belangenhebbers zijn behartigd.

Tenslotte zal worden verantwoord over het gevoerde beleid en bereikte doelen, dit houdt in dat informatie wordt verschaft over alle gedelegeerde taken en bevoegdheden32.

Figuur 2

31 Ministerie van Financiën, 2002: 9

32 Ministerie van Financiën, 2002: 10

Governance

Toezicht

Verantwoor- den Beheersen Sturen

Lange termijn Korte termijn

Interneorganisatie Externe organisatie

(24)

Integraal risicomanagement kan worden gezien als invulling van het element beheersen33. Het betreft immers een beleidsinstrument tot het veiligstellen van ondernemingsdoelstellingen.

Een van de aanbevelingen van de Commissie Peters was dan ook dat de Raad van Bestuur risicobeheersing als taak moet hebben34. Intussen is in 2003 een nieuwe Commissie Corporate Governance geïnstalleerd onder leiding van mr. M. Tabaksblat. De commissie bouwt verder op de veertig aanbevelingen van de Commissie Peters. In haar rapport getiteld “De Nederlandse corporate governance code, beginselen van deugdelijk ondernemingsbestuur en best practice bepalingen” stelt zij dat het bestuur verantwoordelijk is voor beheersing van de risico's verbonden aan ondernemingsactiviteiten. Best practice daarbij omvat de aanwezigheid van een

toegesneden interne risicobeheersings- en controlesysteem (p 9). De beginselen die de commissie Tabaksblat heeft bepaald zijn overigens vanaf 1 januari 2004 verplicht voor beursgenoteerde vennootschappen.

3.4.3 Ontwikkeling Risicomanagement

Gezien de publiciteit die corporate governance heeft ontvangen als gevolg van de bijdrage die het kan leveren aan het verbeteren van het bestuur en de maatschappelijke verantwoording van ondernemingen, is het een logisch gevolg dat risicomanagement als onderdeel ervan ook een stijgende belangstelling geniet in Nederland, maar ook daarbuiten.

Steeds meer bestuurders en managers zien in dat invoering van risicomanagement een manier is om aan de hogere eisen te voldoen. Het vakgebied risicomanagement is dan ook in opkomst.

Niet alleen bestuurders en managers hebben echter hun aandacht voor risicomanagement vergroot. In reactie op de toegenomen aandacht voor risicomanagement hebben enkele gerenommeerde instanties op het gebied van interne controle en financiële verslaggeving rapporten gepubliceerd over risicomanagement. Zo heeft The Committee of Sponsoring Organisations of the Treadway Commission, beter bekend als COSO, in samenwerking met accountantskantoor PricewaterhouseCoopers in juli 2003 een concept raamwerk voor Enterprise Risk Management gepubliceerd met als doel “to raise a consistent “risk and control

consciousness” troughout the enterprise and become a commonly accepted model for discussing and evaluating the organization’s risk management processes”.

Wat zeker is, is dat de aandacht voor risicomanagement en de wil om het te implementeren groot zijn. Onderzoek onder 52 Amerikaanse ondernemingen wijst echter uit dat de aanpak van risicomanagement in de praktijk nogal verschilt. Een eerste aanzet is echter bijna overal te vinden, al dan niet succesvol35. Daarmee lijkt het alsof het bewustzijn dat risicomanagement een noodzaak is bestaat, maar dat de praktische uitvoering ervan te wensen overlaat.

De ondernemende geest merkt hier onmiddellijk een gat in de markt op, wat heeft geresulteerd in de oprichting van tal van organisaties die dienstverlening op het gebied van risicomanagement aanbieden.

De enorme stijging van de populariteit van risicomanagement heeft echter ook kritiek opgeleverd.

Er wordt zelfs beweerd dat het gaat om een modeverschijnsel. Hierbij wordt geopperd dat

risicomanagement een nieuwe naam is voor een activiteit die in een wat andere vorm al zeer lang bestaat. Zeer uiteenlopende activiteiten worden tegenwoordig bestempeld met

risicomanagement, terwijl dit in het verleden niet als apart onderdeel van de bedrijfsvoering werd gezien. Een ondernemer of manager is immers constant bezig met het maken van afwegingen in de zin van: “wat als…?” of “wat zijn de gevolgen van?”. Een ander voorbeeld is

projectmanagement, wat zich richt op het beheersen van onder andere de hoeveelheid werk en de kosten.

De risicomanager zal hier tegenin brengen, dat het gaat om het creëren van risicobewustwording, niet alleen bij management van een organisatie, maar ook op de werkvloer. Organisatiebreed zal één risicomanagementbeleid worden uitgezet en ingevoerd, waarbij een bredere aandacht

33 International Federation of Accountants, 2000: 17

34 Commissie Corporate Governance, 1997: 20

35 Ernst & Young Assurance and Advisory Business Services, Leading Practices in Risk Management, 2002

(25)

bestaat voor risicosoorten. Op deze manier uitgelegd onderscheidt expliciet risicomanagement zich van ondernemen en besturen, wat als impliciet risicomanagement kan worden beschouwd, in de zin dat het om een gestructureerde methode voor risicobeheersing gaat in plaats van ad hoc op het moment dat het nodig is. Er wordt als het ware structureel vooruit gekeken en alvast geanticipeerd op mogelijke gebeurtenissen. Hiermee is risicomanagement in zijn nieuwe vorm, duidelijk anders en dus geen nieuwe naam voor een oud trucje.

3.5

Integraal risicomanagement

Nu een beeld is geschetst van de achtergrond en ontwikkeling van integraal risicomanagement, zal er nu inhoudelijk op worden ingegaan.

In paragraaf 1.3 is al kort weergegeven dat integraal risicomanagement een

beheersingsinstrument is voor veiligstellen van doelstellingen. COSO heeft dit in haar rapport getiteld “Enterprise Risk Management Framework” als volgt gedefinieerd (p3):

Enterprise Risk Management is a process, effected by an entity’s board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may effect an entity, and manage risk to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives.

Hierbij dient te worden opgemerkt dat integraal risicomanagement en Enterprise Risk Management verschillende termen zijn voor hetzelfde begrip.

Kort vertaald gaat het om een proces dat het behalen van organisatiedoelstellingen in

verregaande mate zeker moet stellen. Het heeft niet als doel het wegnemen van risico’s, maar het structureel identificeren en beheersen ervan. Op die manier kan een hogere mate van zekerheid worden verkregen over het behalen van organisatiedoelstellingen.

Integraal risicomanagement is gebaseerd op de veronderstelling dat organisaties bestaan om zoveel mogelijk waarde te creëren voor belanghebbenden36. Deze waarden voor

belanghebbenden zijn dan ook het beginpunt van risicomanagement. De doelstellingen van een organisatie worden namelijk met deze waarden als kern bepaald. Op basis van de bijdrage aan organisatiedoelstellingen worden risico’s vervolgens geïdentificeerd, geëvalueerd, beheerst en gemonitord.

Aan de hand van de doelstellingen worden namelijk de processen geselecteerd die kritiek zijn voor het behalen van die doelstellingen en dus uiteindelijk voor het creëren van die waarden37. Vervolgens moet worden bepaald welke risico’s per proces bestaan, die op wat voor een wijze dan ook invloed kunnen hebben op het realiseren van die waarden, zodat die op passende wijze kunnen worden beheerst.

Een voorbeeld voor de overheid is bijvoorbeeld een gemeente. Een van de belanghebbenden daarbij is de burger, waarvoor een waarde de snelheid van de dienstverlening is. Wanneer hij een nieuw paspoort nodig heeft, wil hij daarvoor niet lang in de rij staan. Hierbij kunnen vervolgens een bijna oneindig groot aantal risico’s worden geïdentificeerd. De belangrijkste kunnen daaruit worden gehaald, door de kans dat de gebeurtenis zichvoordoeten de gevolgen die die gebeurtenis heeft voor de wachttijd te beschouwen. Zo zal een meteorietinslag grote gevolgen hebben, maar is de kans verwaarloosbaar klein. Daarbij zouden de kosten van beheersing van dit risico, bijvoorbeeld het plaatsen van raketten om de meteoriet eventueel te kunnen vernietigen, onacceptabel hoog zijn. Er zal gekozen worden om dit risico te accepteren en niet te beheersen. Het risico van ziekte onder het personeel is echter aanzienlijk, dit heeft minder grote gevolgen, maar de kans hierop is wel redelijk groot. Dit risico zal dus beheerst moeten worden door bijvoorbeeld het inschakelen van een uitzendbureau of het inwerken van extra medewerkers.

36 Vaughan, 1997: 96

37 Bos, W., Stappenplan naar een hogere risico conscensus, uit de presentatie ‘De kracht van samenhang, Risicomanagement en Interne Audit, januari 2004

Referenties

Download het nu ( PDF - 70 pagina - 432.20 KB )

GERELATEERDE DOCUMENTEN

Hoofdstuk 1 Hoofdstuk 2

De conclusie van het onderzoek is dat MT een effectieve behandeling is voor patiënten met CSSH in de eerstelijnszorg in vergelijking met de gebruikelijke

Jessie Penn-Lewis Hoofdstuk 10 uit “De Lijn is Getrokken”, dat handelt over Jessie Penn-Lewis

Evan Roberts bij de plechtige opening van de Welsh Revival was essentieel voor gelovigen door bij hen de noodzaak van de doop van de Heilige Geest bij te brengen” (1)..

HOOFDSTUK HOOFDSTUK HOOFDSTUK HOOFDSTUK HOOFDSTUK HOOFDSTUK HOOFDSTUK HOOFDSTUK. PVC buizen en hulpstukken. Kolken en putten

Inhoud bruto Omschrijving NW15 Prijs groep Verp.

Risicomanagement: nie ohne Risicomanagement arbeiten. Risicomanagement binnen Norma

Bij dit onderzoek wordt er gefocust op de situatie binnen Norma, met deze focus kiezen we voor diepgang. De nadruk ligt hierbij niet op het uitdrukken van resultaten in getallen,

(1)HOOFDSTUK 1 INTEGRAAL ACCOMMODATIEBELEID VRIES 1.1 Aanleiding

Omdat het onderhouden en realiseren van goede huisvesting veel kosten met zich meebrengt en er met uitzondering van de wijk Ter Borch in de gemeente Tynaarlo verder vrijwel

Omgaan met risicomanagement : een onderzoek naar de inbedding van integraal risicomanagement binnen Ballast Nedam Infra Projecten

Dit onderzoek is er ten eerste op gericht om duidelijk te krijgen waarom risicomanagement niet integraal wordt toegepast binnen Ballast Nedam Infra Projecten en wat hiervan de

Hoofdstuk 3 Integraal Management

“Hoe dienen de planning & control cyclus en de bijbehorende rapportages er voor het openbaar basisonderwijs van de gemeente Skarsterlân uit te zien, opdat integraal bestuurd

Hoofdstuk 1 beschrijft een kritische bespreking van de literatuur over de toepassing van 3D-printtechnologie op het gebied van de prosthodontie

In hoofdstuk 3 werd de buigsterkte geëvalueerd en werd er geen statistisch verschil gevonden tussen verticaal en horizontaal geprinte exemplaren.. Echter, fractografische