Deloitte
Touche
Deloitte
&Touche
6/08
11 januari 2002
Beide benaderingen passen in onderstaand schema, waarin de vier
benaderingen staan aangegeven:
Top/down
(doelstelling)
Bottum/up
(proces)
Self
assesment
Externe
uitvoering
Beide risicobenaderingen zijn methodisch verantwoord, waarbij een
gecombineerde toepassing uiteraard leidt tot een completer beeld, omdat
toepassing van beide analyses niet per definitie tot dezelfde uitkomsten
hoeft te leiden. Veelal is het zo dat een bottum-up benadering vooral de
risico's in de bedrijfsvoering zichtbaar maakt, waar een top-down
benadering risico's zichtbaar maakt die vooral een bestuurlijk/politiek
karakter hebben. Afhankelijk van het doel is voor beide benaderingen iets
te zeggen. Gezien de achtergrond van het ontstaan van de vraagstelling is
de door de gemeente gevolgde risico-analyse te verdedigen, met dien
verstande dat op enig moment een completering via een top-down
benadering wel wenselijk wordt geacht.
Een belangrijk onderdeel van de risico-analyse is de prioritering. In de
zelfanalyse wordt hieraan aandacht besteed. In de toelichting worden drie
categorieën onderscheiden op basis waarvan mogelijke acties kunnen
worden ondernomen.De categorie-indeling is gebaseerd op een combinatie
van de invalshoeken "consequenties "(zeer ernstig en ernstig) en "mate van
urgentie" (acuut en potentieel). Dit komt min of meer overeen met de
gebruikelijke risico-indeling "waarschijnlijkheid" en "impact". Opgemerkt
wordt dat het schema niet alleen de risico's aangeeft, maar tevens de
processen en organisatie-onderdelen waar de risico's betrekking op
hebben.
7/08
11 januari 2002
4. Benchmark
getoetst aan een riSicoraamwerk dat is gebaseerd op een viertal
risicoanalyses van min of meer vergelijkbare (in termen van
inwoneraantallen) gemeenten.
Het raamwerk zoals dat hieronder is weergegeven bevat de belangrijkste
risicocategorieën die men mag verwachten bij een gemeente met een
inwonertal van ca. 100.000. Hierbij wordt volledigheidshalve opgemerkt dat
het risicocategorieën betreffen die vanuit een bottum-up benadering zijn
geïnventariseerd.
Het raamwerk zelf is onderverdeeld in externe risico's, risico's die
betrekking hebben op de zogenoemde "hard controls"
(basisbeheersmaatregelen) en risico's die betrekking hebben op de
zogenoemde "soft controls" (beheersmaatregelen die slechts in hun
effecten zichtbaar zijn).
Ter toelichting wordt nog opgemerkt dat externe risico's weliswaar een
behoorlijke impact kunnen hebben op het realiseren van de bestuurlijke
doelstellingen van de gemeente Leeuwarden, maar door de bank genomen
niet of nauwelijks beïnvloedbaar zijn. Zo is het merendeel van de wet- en
regelgeving voor de gemeente vaak een gegeven en daarmee niet
beïnvloedbaar.
Dit geldt uiteraard niet voor de interne risico's, die juist in hoge mate
beïnvloedbaar zijn. Uiteraard is er ook op het punt van beïnvloedbaarheid
een verschil tussen de hard- en de soft controls. Waar (risico's) met
betrekking tot de hard controls vaak snel en effectief zijn te beïnvloeden en
daarmee zijn te verbeteren, geldt dat in veel mindere mate voor risico's in
de sfeer van de soft controls. Zo zijn risico's die samenhangen met
cultuuraspecten aanzienlijk lastiger af te dekken dan risico's die
samenhangen met de AO/IC.
f
mtv«éWH®
Rapport Second Opinion risico-analyse Leeuwarden
Second opinion Een belangrijk onderdeel van de second-opinion wordt gevormd door de
Benchmark benchmark. Hierbij wordt de zelfanalyse van de gemeente Leeuwarden
Rapport Second Opinion risico-analyse Leeuwarden
