Het is niet een heel sexy onderwerp, risicomanagement. Veel gemeenten maken zich er dan ook makkelijk vanaf, zag Hoogland in haar onderzoek, en wat ze doen, doen ze allemaal anders. Terwijl goed risicomanagement belangrijk is om problemen en tegenvallers in de toekomst te voorkomen of zo veel mogelijk te beperken. Er is daarbij een belangrijke financiële component: zaken die niet goed gaan, kosten immers altijd extra geld: ontwikkelkosten en menskracht bijvoorbeeld. ‘Maar ze kunnen ook juridische en politieke gevolgen hebben’, zegt ze. 

In haar scriptie verwijst Hoogland onder meer naar het brugongeluk in Alphen aan den Rijn, waarbij in 2016 twee hijskranen kantelden, en naar de hack van de gemeente Hof van Twente vorig jaar december. Uit onderzoek naar die hack, bleek dat de gemeente ‘onbewust kwetsbaar’ was voor die digitale aanval. Uit audits en tests had de gemeenten ‘geen signalen’ ontvangen dat er ‘iets serieus mis was met de beveiliging’.

Toegevoegde waarde
Goed risicomanagement, zegt Hoogland nu, kan vergelijkbare crises voorkomen. Hoogland kiest nadrukkelijk voor een positieve benadering. ‘Het kan ervoor zorgen dat je de gemeentelijke doelstellingen beter haalt en daarmee ook toegevoegde waarde kunt behalen voor de inwoners’, zegt ze. ‘Ook zorgt het voor minder financiële verrassingen.’

Hoogland studeerde publiek management aan de Erasmus Universiteit in Rotterdam, waar ze de afgelopen maand afstudeerde. Haar stage liep ze bij VNG Risicobeheer. Voor haar masteronderzoek keek ze hoe achttien gemeenten omgaan met risicomanagement. Ze zag vooral grote verschillen in de benadering van risico’s. In een deel van de gemeenten is het management vooral reactief, ‘terwijl andere gemeenten hele processen hebben georganiseerd om proactief aan risicomanagement te doen’, schrijft ze. Sommige gemeenten kijken alleen naar de financiële tegenvallers, terwijl ook de andere potentiële gevaren impact kunnen hebben. ‘Het regelmatige en ­systematische onderzoek gebeurt in veel gevallen niet.’

Hoogland wijst op de financiële gevolgen van zaken die onverhoopt niet goed lopen. Veel gemeenten hebben het financieel krap en kunnen niet meer interen op hun reserves.

Wettelijk verplicht
Risicomanagement is voor decentrale overheden een wettelijke verplichting. In de paragraaf weerstandsvermogen in de begroting moeten gemeenten melding maken van de gevaren en hoe ze die denken op te vangen. In het Besluit begroting en verantwoording provincies en gemeenten staat hoe ze dat moeten doen. Maar veel lokale overheden, ziet Hoogland, steken weinig moeite in het jaarlijks actualiseren van die paragrafen. ‘Veel gemeenten pakken het lijstje van vorig jaar en schrijven er dan een nieuw bedrag bij. Maar dat kan niet, risicomanagement begint pas als de lijst klaar is.’

Organisaties kunnen en moeten meer doen om risico’s te beperken, legt Hoogland uit. ‘Risicovolwassenheid’ houdt niet in dat je alleen maar checklists afwerkt, ‘want dan ga je dingen over het hoofd zien die belangrijk zijn’. Het is bovenal een cultuurkwestie, waarin het omgaan met en opvangen van potentiële tegenvallers in de hele organisatie besproken wordt, en niet alleen bij de medewerkers die de verplichte risicoparagraaf in de begroting opstellen. 

Mensen moeten zich bereid voelen risico’s te melden

In haar scriptie maakt Hoogland daarom een onderscheid tussen de ‘hard controls’, zoals de checklists en de paragraaf weerstandsvermogen, en de ‘soft controls’, zoals de cultuur in de organisatie. ‘Het is van belang dat de harde kant goed is geregeld. Maar de toegevoegde waarde zit vooral in die soft controls,’ ziet ze. ‘Mensen moeten zich bereid voelen risico’s te melden.’ Daarbij is het belangrijk dat medewerkers met verschillende achtergronden meepraten en denken. Laat je de paragraaf invullen door alleen juristen, dan is de kans groot dat louter de juridische gevaren in beeld komen. ‘Het is een groot probleem dat mensen hun vinger niet opsteken. Alleen zo kun je problemen als de toeslagenaffaire voorkomen.’ Maar er is geen blauwdruk voor hoe zo’n gesprek moet verlopen, omdat de risico’s per gemeente verschillen.

Die risicodialoog wordt door gemeenten genoemd als het belangrijkste onderdeel van risicomanagement, constateert Hoogland. Ze kijkt daarbij nadrukkelijk naar het college en de ambtelijke top. Zij moeten het belang ervan uitdragen in de organisatie. Ook zou er per risico een ‘eigenaar’ moeten worden aangewezen, die eerstverantwoordelijke is voor een specifiek dossier. ‘Hij of zij moet zich afvragen: dit is mijn doelstelling, dit zijn de risico’s. Hoe kan ik zorgen dat de kans dat er iets gebeurt, zo klein mogelijk is? En kan er een deel verzekerd worden?’ 

Hoogland wijst erop dat gemeenten vooral ook naar elkaar moeten kijken en goede voorbeelden moeten uitwisselen om hun risicomanagement te verbeteren. Ook ziet ze dat partijen als VNG Risicobeheer hierin een rol kunnen spelen.