Klaartje Vingerhoets en Karin Vissers vertellen hoe ze het aanpakken. Klaartje is teammanager Financiën en Administratie en Karin interne controle-functionaris. Ze werken beiden voor Mijn gemeente dichtbij. Dit is de uitvoeringsorganisatie van Boxtel en Sint-Michielsgestel. De gemeenten maakten nieuw beleid voor het risicomanagement. 

Wat was de aanleiding voor het nieuwe beleid?

Klaartje: De rekenkamer van Boxtel had onderzoek gedaan naar de organisatie van het risicomanagement. Daaruit bleek dat er geen gemeentebreed beleid was. Risicomanagement werd wel toegepast in projecten en grondexploitaties, maar verder gebeurde het ad hoc. Ook werd het  gezien als een onderwerp van de afdeling Financiën, en niet van de inhoudelijke experts die feitelijk verantwoordelijk zijn. 

Waarom vinden jullie risicomanagement belangrijk?

Klaartje: Het is een middel om de beleidsdoelen van de gemeente te bereiken, geen doel op zich. We werken met gemeenschapsgeld, als je je risico’s niet voldoende beheerst, gaat het geld met bakken de deur uit en dat ondergraaft (terecht) het vertrouwen van burgers.

Wat is de kracht van het nieuwe beleid?

Klaartje: Een belangrijk aspect is dat we van traditioneel naar geïntegreerd risicobeheer gaan. De kracht van het CET is dat verschillende expertises erin vertegenwoordigd zijn waardoor gemakkelijk verbindingen worden gelegd. Het zijn niet alleen financiële mensen maar ook van inkoop, personeel en automatisering, en van de primaire processen.  We hebben te maken met allerlei risico’s, ook juridische en politieke. In het CET komt ook op tafel hoe de verschillende expertises elkaar raken. Risicomanagement is een onderdeel van onze organisatieontwikkeling. Het is een instrument om één van onze speerpunten te verwezenlijken: de basis op orde. De volgende stap dat we strategische risico’s onder de loep nemen.

Hoe organiseer je deze aanpak in de organisatie?

Karin: We focussen nu op processen. Dat is een bewuste keuze vanwege de rechtmatigheidsverklaring van het college waar we klaar voor moeten zijn in 2021. Het past ook in de professionalisering van de verbijzonderde interne controle. We hebben samen met procesmanagement een methodiek ontwikkeld om processen, risico’s en beheersmaatregelen vast te leggen: de procesrisicokaart. Risicobewustzijn is een belangrijk onderdeel van deze methodiek. We doen dit op een laagdrempelige manier samen met de teams en vooral met de inhoudelijke experts. Bij twee teams zijn wij het afgelopen jaar begonnen de processen en beheersmaatregelen tegen het licht te houden. In totaal zijn er 12 processen, volgend jaar gaan we de resterende tien doen, te beginnen bij de processen met de grootste financiële impact.  

Hoe ga je met de teams het gesprek aan?

Karin: Onderdeel van de methodiek is een standaardaanpak die we kunnen aanpassen op het proces. We leggen eerst de aanpak uit aan de teammanager. Daarna halen we de informatie op die er al is op bij het team, en we maken een eerste aanzet van de processen (op een hoog niveau) en de risico’s in de procesrisicokaart. De start wordt gefaciliteerd door de procesmanager samen met de interne controle functionaris. Vervolgens vragen we de teammanager, één of twee medewerkers, en de inhoudelijke experts  om de procesrisicokaarten aan te vullen met de beheersmaatregelen en ontbrekende risico’s. Daarna gaan we daar samen over in gesprek. Het gesprek leidt tot risicobewustzijn en verbeterafspraken. Daarnaast doen we met het hele team een training in interne fraudebeheersing aan de hand van een rollenspel. Zo’n rollenspel is een ontspannen werkvorm die spelenderwijs veel inzicht oplevert. Zo maken we risico’s bespreekbaar en verhogen we het bewustzijn.  Risicomanagement is tenslotte een woord dat niet sexy is. Het is belangrijk dat je de boodschap goed brengt, aanpast aan de ontvanger.

Wat moeten de inhoudelijk experts doen?

Karin: Die doorlopen de stappen van het risicomanagementproces. Het allerbelangrijkste is een goede dialoog over de risico’s. Zorg dat je de juiste experts hiervoor aan tafel hebt. Je gaat samen de risico’s identificeren. Vervolgens ga je ze kwantificeren: hoe groot is de kans dat het gebeurt en wat is dan de impact? Het gaat daarbij niet alleen om financiën, ook imagoschade is een belangrijk aspect. Dit heeft immers direct gevolgen voor het vertrouwen in je gemeente. Daarna kijk je hoe je risico’s kunt beheersen. Wat kun je doen om grip op het risico te houden en werkt dat dan ook? Een voorbeeld is een applicatie die afdwingt dat een tweede handtekening nodig is om een groot bedrag te kunnen overmaken. Die maatregel werkt niet als er bedragen om dit proces heen rechtstreeks in een andere internetapplicatie worden verwerkt. In dat geval is de werking van deze maatregel dus niet effectief.  

Werkt deze methodiek?

Klaartje: Mijn ervaring bij de eerste twee teams is dat ze de toegevoegde waarde van deze methodiek zien voor de kwaliteit van hun eigen processen. Mensen zijn betrokken bij hun proces en willen graag kwaliteit leveren..  

Hoe ga je het – ook voor de lange termijn – in de organisatie verankeren?

Karin: De procesrisicokaarten worden dit jaar geïmplementeerd. Daarna worden ze periodiek, voor de belangrijkste processen eens per jaar, besproken. Hiermee hou je ze actueel en is het geen eenmalige exercitie zoals je vaak ziet met procesbeschrijvingen en risico-inventarisaties.  We houden daar bij focus op de belangrijkste risico’s. Processen met  een hoog risico lopen de risicomanagementcyclus vaker door.

Meer informatie

• Karin Vissers -  GR-TEAM-BV-FINANCIEN@MijnGemeenteDichtbij.nl
• Notitie Risicomanagement (download pdf)
• Risicomanagement in beeld (download pdf)