Gemeenten hard op weg naar GRC

Geplaatst door

Met de nieuwe rechtmatigheidsverklaring en de BIO kiezen steeds meer gemeenten voor een integrale aanpak.

Financieel risicomanagement

Sinds de invoering van de paragraaf weerstandsvermogen hebben veel gemeenten inhoud gegeven aan hun financieel risicomanagement. Er moest een risicomanagement beleid komen en een paragraaf weerstandsvermogen. Het merendeel van de gemeenten heeft dit opgetuigd en laat zo zien of zij voldoende risicobuffer heeft om risico’s op te kunnen vangen. 

Maar alleen de externe verslaglegging bekijken geeft een te beperkt beeld. Het risicomanagement op projecten, programma’s en processen heeft door de regelgeving een enorme impuls gekregen. Het wordt steeds normaler om risicoanalyses op het sociaal domein, omgevingswet, projecten en verbonden partijen uit te voeren. Hiermee neemt het risicobewustzijn binnen de organisaties toe.

Rechtmatigheidsverklaring

Met de rechtmatigheidsverklaring dienen gemeenten aan te geven of ze zich aan de regels houden. Voor veel controllers is dit een kans om de bedrijfsvoering op de politieke agenda te zetten en bijvoorbeeld te groeien naar een In Control Statement. Met een risico-gestuurde aanpak kan de focus op de meest risicovolle processen en risico’s worden gelegd. 

risicogestuurde rechtmatigheidsverklaring

BIO

Met de BIO komt er nog een Rolls Royce qua risicomanagement bij gemeenten naar binnen gereden. En terecht worden de controls van informatieveiligheid zeer serieus uitgewerkt. Het document kent een zeer risico-gestuurde aanpak waarbij de risico’s goed zijn voorzien van de noodzakelijke beheersmaatregelen (controls). Mooi onderdeel is de risicoacceptatie overeenkomst (RAO) waarbij management moet verklaren dat zij de rest-risico’s accepteert. Belangrijk, want een CISO kan net als een risicomanager nooit verantwoordelijk zijn voor alle risicobeheersing.

Stappen op weg naar GRC

Steeds meer gemeenten zoeken nu de combinatie op. De CISO, concern controller, FG, hoofd financien zoeken vandaag de dag de verbinding. Deze samenwerking is belangrijk om te voorkomen dat er een controle-toren ontstaat waarbij het gewone management (eerste lijn) enkel met verantwoorden bezig is. Natuurlijk vraagt dit concessies van de verschillende betrokken partijen uit de tweede lijn. Maar gelukkig stapt men steeds meer over de eigen schaduw heen en worden en ontstaat een omgeving waarbij los van het financiële risicomanagement, ook het operationele en informatie beveiligings-risicomanagement wordt samengevoegd. 

De kracht van een risico-gestuurde aanpak is dat bewuste keuzes worden gemaakt wat echt risicovol is. Dit betekent dat niet alles gedaan moet worden. Door deze focus op de beheersing van de echte risico’s maakt gemeenten sterker en meer resilient. 

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit /  Bijwerken )

Google photo

Je reageert onder je Google account. Log uit /  Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit /  Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit /  Bijwerken )

Verbinden met %s