onwaarschijnlijk. Bij de analyse van de risico’s wordt de waarschijnlijkheid van het zich voordoen van risico’s per risico toegelicht.
22 KB – 15 Pages
PAGE – 2 ============
1 Inhoudsopgave 1. Inleiding 2 2. Risico-inventarisatie 3 2.1. Inleiding 3 2.2. Mogelijke risico’s van de NEa 3 2.2.1. Risico’s door bedreigingen in de omgeving van de NEa 3 2.2.2. Risico’s gebaseerd op een analyse van zwakke punten 6 van de NEa 3. Risicoanalyse 7 4. Beheersmaatregelen 10 4.1 Maatschappelijke risico™s 11 4.2 Politieke risico™s 11 4.3 Exploitatie risico™s 12 4.4 Personele risico™s 13 5. Prioriteitstelling 14
PAGE – 3 ============
Het risicobeleid van de NEa 2 Hoofdstuk 1. Inleiding Vóór de start van de NEa als baten-/lastendienst moet: – inzicht bestaan in de risico’s die de NEa loopt; – het beleid bekend zijn dat aan de baten-/lastendienststatus ten grondslag ligt op het gebied van risicoverdeling en -beheersing. Uitvoering van een risicoanalyse en formulering van het risicobeleid is als een van de geoperationaliseerde instellingseisen opgenomen in de ‘Instellingsprocedure voor baten-/ lastendiensten’. Deze luidt als volgt: ‘De risico’s die de dienst loopt zijn geïdentificeerd en er zijn afspraken gemaakt over de wijze waarop deze risico’s worden afgedekt’. In deze notitie wordt een aanzet gegeven tot het verkrijgen van inzicht in enerzijds de invloed van bestaande risico’s op de financiële positie van de NEa en anderzijds het beleid dat de NEa nastreeft om de invloed van deze risico’s op de organisatie te reduceren of af te dekken. De processen en ook de producten zullen nog volop wijzigingen ondergaan. De uitkomsten van deze notitie moeten dan ook als een momentopname worden gezien. Daarom zal het mangement van de NEa gedurende het eerste jaar ieder kwartaal opnieuw een risicoanalyse maken en de uitkomsten in een nieuwe versie van dit document vastleggen. Dan zal ook worden nagegaan of risico™s in het veranderingstraject ook zullen gaan gelden voor de bestaande organisatie. Zie voor een toelichting op het gebruikte theoretische model het document fiRisico-analyse van het veranderingstraject NEafl. In hoofdstuk 2 wordt aangegeven op welke wijze de risico’s voor de NEa zijn geïnventariseerd. Daarvoor is gebruik gemaakt van een zogenaamde ‘SWOT-analyse’. Aan de hand daarvan worden de kansen en bedreigingen voor, en de zwakke en sterke punten van de organisatie in kaart gebracht. Op basis daarvan kan een uitspraak worden gedaan over de risico’s die de NEa loopt. In hoofdstuk 3 worden de risico’s beoordeeld aan de hand van een drietal criteria: de kans dat een risico zich voordoet, de hoogte van de schade en het tijdstip waarop een risico zich kan manifesteren. In hoofdstuk 4 worden de beheersmaatregelen – reductie of afdekking – per relevant risico behandeld. In hoofdstuk 5 zijn de topprioriteiten benoemd en de risico-eigenaren binnen de NEa.
PAGE – 4 ============
Het risicobeleid van de NEa 3 Hoofdstuk 2. Risico-inventarisatie 2.1. Inleiding Voor het bepalen van de voor de NEa relevante risico’s worden de volgende stappen doorlopen: 1. Als eerste worden de belangrijkste risicofactoren waarmee de NEa te maken kan krijgen bij de uitoefening van haar taken geïnventariseerd. Risicofactoren zijn zaken die de realisering van de doelstellingen van de organisatie kunnen beïnvloeden. Voorbeelden van risicofactoren zijn geringe bereidheid om te investeren in emissiereducerende maatregelen, brand, diefstal. 2. De tweede stap is het per risicofactor benoemen van de consequenties van de risico’s die de NEa loopt. 3. Nadat de risico’s bekend zijn moeten de risico-objecten worden vastgesteld. Risico-objecten zijn de zakelijke waarden van een organisatie waarover risico wordt gelopen. Een zakelijke waarde is een object dat significant bijdraagt aan het realiseren van organisatiedoelstellingen. Risico-objecten kunnen worden onderverdeeld in de volgende hoofdsoorten: – vaste en vlottende activa (bijvoorbeeld gebouwen, debiteuren, immateriële activa, geldmiddelen); – het eigen vermogen; – inkomsten/omzet/opbrengsten; – uitgaven/kosten; – human resources; – de informatie(verwerking), (databases); – kwaliteiten zoals de productkwaliteiten, het imago van de organisatie, de technische know-how, de logistieke beheersing en (andere) immateriële activa. 2.2. Mogelijke risico’s van de NEa Bij de inventarisatie van de mogelijke risico’s voor de NEa worden aan de hand van een SWOT-analyse (Strengths, Weaknesses, Opportunities, Threats) met name een tweetal risicogebieden betrokken, namelijk: 1. de bedreigingen (threats) in de omgeving van de NEa (externe ontwikkelingen); 2. de zwakke punten (weaknesses) van de NEa (interne ontwikkelingen) 2.2.1. Risico’s door bedreigingen in de omgeving van de NEa De door externe factoren beïnvloedbare risico’s zijn in het navolgende beschreven. Onderscheid wordt gemaakt tussen algemene risico’s (zoals brand en diefstal) en risico™s die heel direct samenhangen met de taakuitvoering van de NEa en die een direct negatieve invloed op de doelstellingen en producten van de NEa hebben.
PAGE – 5 ============
Het risicobeleid van de NEa 4 Doelstellingen, producten en omgeving van de NEa Risicofactoren (oorzaak) Mogelijke risico’s (gevolg) Risico-objecten (schade-object) Tot stand brengen van emissiehandel – Beperkte aanbod en vraag van emissierechten – Meer belangstelling dan verwacht – Inbreuk in geautomatiseerde systemen – Leegloop bij bureau Emissiehandel en eventueel overschot personeel – Formatiekrapte – Aantasting integriteit, betrouwbaarheid en beschikbaarheid van het systeem – omzet/opbrengsten – kosten – human resources – activa (hardware/software) – kosten (beheer en onderhoud) – informatie Tijdige vergunningverlening – Piekbelasting – Veel aanvragen om uitstel vanwege niet tijdig beschikbaar zijn van externe validator – Administratieve dwaling – Verwarring over verschil CO2 en NOx aanpak – Niet op tijd vergunning kunnen verlenen waardoor vergunningen administratief verleend moeten worden waardoor emissiesysteem zijn doel voorbij schiet – Formatie krapte of te krappe externe uitwijk – Planningsproblemen bij NEa – Schadeclaim van bedrijven – Politiek onbegrip – Kosten – Human resources – Geloofwaardigheid van het Emissiesysteem – Kosten – Politiek draagvlak Effectief toezicht (en handhaving) – Onvoldoende ervaring en gebrek aan technisch inhoudelijke kennis – Veiligheid van te inspecteren installaties – Discussie over prioriteitsstelling van diepteonderzoeken tussen departement en bestuur – Te weinig concrete afstemming met toezichtpartners – Nog weinig inzicht in gedrag van doelgroep t.a.v. gehoorzaamheid – Spanning tussen visie op effectief toezicht en beschikbaar budget – Kleine pakkans bij overtreding – Lichamelijk letsel bij inspecteurs – Frustratie – Overlap of omissies in controles – Verkeerde primaire focus t.a.v. overtreders – Frustratie – Milieu – Kosten/ Personeel – Relatie tussen opdrachtgever en Nea – Imago van de overheid – Reputatie als opsporingsinstantie – Relatie tussen opdrachtgever en Nea Klanten zoveel mogelijk betrekken bij het maken van beleidskeuzes. – Veranderende eisen en wensen – Niet kunnen voldoen aan eisen en wensen – Imago van de organisatie – Verliezen van goodwill bij doelgroep
PAGE – 6 ============
Het risicobeleid van de NEa 5 Doelstellingen, producten en omgeving van de NEa Risicofactoren (oorzaak) Mogelijke risico’s (gevolg) Risico-objecten (schade-object) Continuiteit van de organisatie – Wijziging beleid/opdracht door opdrachtgever – Reorganisaties door beleidswijzigingen en dalende/stijgende vraag – kosten – human resources Optimaal gebruik maken van internettoepassingen ten einde de afstand tot de klant v.v. te minimaliseren. – ICT-omgeving niet gestandaardiseerd – Inbreuk in systemen – Communicatieproblemen – Verkeerde keuzes ICT-toepassingen – Aantasting integriteit, betrouwbaarheid en beschikbaarheid van het systeem – Activa – kosten – informatie Effectieve doelgroepbenadering – Ontbreken van kennis en kunde op gebied van communicatietechnieken – Reorganisatie – Hogere personeels- en wervingskosten door tekort personeel – Hogere opleidingskosten – kosten – human resources Actief participeren in internationale initiatieven, zoals projecten en voorbereidingswerkgroepen t.b.v. Europees emissieregister . – Onvoldoende Europese aansluiting bij onvoldoende participatie – Stagnatie in grensoverschrijdende emissiehandel – Werking van Europees handelsysteem Optimaal gebruik maken van het potentieel van de medewerkers door dezen ontwikkelingsmogelijkheden te bieden. – Bij te weinig investeren in eigen personeel: ontbreken kennis en kunde en ongewenst hoog verloop – Personeel niet ICT-gericht – Gering ambitieniveau en expertiseniveau medewerkers – Demotiverende werkomgeving – Inefficiënte werkwijze – kosten – human resources Introductie van een bedrijfsmatiger cultuur waarbinnen men elkaar kan aanspreken op prestaties. – Weerstand wanneer niet alle lagen in de organisatie meedoen – Niet behalen van afgesproken resultaten – Kosten, – kwaliteit, doorlooptijd – human resources – effectiviteit Optimale arbeidsomstandigheden. – Niet voldoen aan ARBO-eisen – Demotiverende werkomgeving – Hoog ziekteverzuim – kosten – human resources
PAGE – 8 ============
Het risicobeleid van de NEa 7 Hoofdstuk 3. Risicoanalyse Uit de geïnventariseerde risico’s voor de NEa moet aan de hand van een drietal criteria worden bepaald welke daarvan in het risicobeleid moeten worden opgenomen. Deze zijn: a) de kans dat het risico zich voordoet, b) het effect (de schade) dat een risico heeft op de financiële positie van de NEa, c) het moment waarop de schade zich kan voordoen. De kans dat het risico zich voordoet wordt verdeeld in een drietal gradaties: – waarschijnlijk, – mogelijk, – onwaarschijnlijk. Bij de analyse van de risico’s wordt de waarschijnlijkheid van het zich voordoen van risico’s per risico toegelicht. Het effect wordt gemeten aan de hand van de hoogte van de schade: – grote schade (>5% van de omzet), – beperkte schade (1%-5% van de omzet), – verwaarloosbaar (<1% van de omzet). Op een bepaald moment kan de schade zich voordoen als: - een eenmalige gebeurtenis - een vaker terugkerende gebeurtenis Risico Kans Hoogte schade Tijdstip Hoge personeels- en wervingskosten door krapte op arbeidsmarkt Onwaarschijnlijk: Op dit moment ondervindt de NEa bij sollicitatie-procedures geen hinder door krapte. Beperkte schade Permanent Geautomatiseerde systemen die niet voldoen aan nieuwe ICT-/klanteneisen Onwaarschijnlijk: De systemen van de NEa worden alle nieuw ontwikkeld en gebouwd Beperkte schade Permanent Niet mogelijk productwensen van klanten te honoreren Mogelijk: Het systeem is primair gebouwd op basis van de wetgeving, onder de huidige tijdsdruk is het niet mogelijk rekening te houden met de klanten Verwaarloosbaar Permanent Bovenmatige piekbelasting bij nieuwe / gewijzigde wetgeving Waarschijnlijk: Althans bij belangrijke wetswijzigingen Grote schade Incidenteel
PAGE - 9 ============
Het risicobeleid van de NEa 8 Risico Kans Hoogte schade Tijdstip Reorganisaties door beleidswijzigingen Mogelijk: Door mogelijke externe ontwikkelingen kan het beleid aanpassing behoeven. Beperkte schade Permanent Reorganisaties op eigen initiatief Mogelijk: Gezien de onzekerheid hoe het beleid bij de doelgroep zal aanslaan is een mogelijke reorganisatie in de nabije toekomst zeker niet denkbeeldig Beperkte schade Permanent Schade door tekortschietende arbeidsomstandigheden en kantoor-organisatie - ten aanzien van de werkomgeving - inefficiënte uitvoering werk - kantoorautomatisering Mogelijk: Om blijvend te kunnen voldoen aan een kantoororganisatie die de medewerkers stimuleert en de efficiency van de werkzaamheden vergroot, waarbij tevens de arbo-regelgeving gevolgd wordt, zullen constant aanpassingen noodzakelijk zijn. Beperkte schade Permanent Meer-/minderwerk Mogelijk: De uitvoering van de werkzaamheden binnen de NEa kunnen gezien de nieuwheid van de wetgeving door verschillende oorzaken afwijken van de planning. Beperkte schade Permanent Oninbaarheid debiteuren Waarschijnlijk: Een beperkt deel van de vorderingen (a.g.v. sancties) zal altijd oninbaar blijken. Verwaarloosbaar Permanent Schade door ontoereikende beveiliging van geautomatiseerde systemen: - hoge recoverykosten - geen of verminkte informatie - schade door fraude - schadeclaims - Onwaarschijnlijk - Mogelijk - Mogelijk - Mogelijk: Door de constante ICT-ontwikkelingen in de omgeving van de NEa en de hoeveelheid systemen die de NEa gebruikt, wordt er voortdurend risico gelopen op schade. - Grote schade - Grote schade - Grote schade - Grote schade - Permanent - " - " - " Verwijtbare schade als gevolg van het niet beschikbaar hebben van het register waardoor geen handel mogelijk is Mogelijk Grote schade Permanent Kapitaalvernietiging door onjuiste investeringsbeslissingen en inefficiënte en ineffectieve werkzaamheden Mogelijk: Indien investeringsbeslissingen op grond van onjuiste veronderstellingen genomen worden of de processen niet juist ingericht zijn kan dit leiden tot schade. Beperkte schade Permanent Aansprakelijkheidstellingen door misbruik gevoelige informatie v.w.b. emissiehandel Mogelijk: Vanwege de gevoelige informatie die personeel van de NEa onder ogen kan komen en de belangen die hierbij gepaard kunnen gaan, is er een risico van misbruik van deze informatie aanwezig. Grote schade Permanent Niet kunnen voldoen aan personeelsbehoefte door centraal (VROM) personeelsbeleid Mogelijk: Doordat de NEa onderdeel uitmaakt van een grotere organisatie heeft hij geen volledige vrijheid op personeelsgebied. Dit zou negatieve gevolgen kunnen hebben. Beperkte schade Permanent
PAGE - 10 ============
Het risicobeleid van de NEa 9 Risico Kans Hoogte schade Tijdstip Inefficiënte inzet van middelen door beperkende financiële regelgeving Mogelijk: De NEa maakt onderdeel uit van de Rijksoverheid. Hierdoor kan het onderhevig zijn aan regelgeving en opgelegde taakstellingen Beperkte schade Permanent Schadeclaims door foutieve beslissingen van de NEa (op het gebied van sancties, vergunningverlening en beoordeling emissieverslagen) Mogelijk: Aangezien mensen het belangrijkste productiemiddel zijn binnen de NEa en de materie waarmee de NEa zich bezighoud complex is, is het mogelijk dat er fouten gemaakt worden. Grote schade Permanent Schade door onevenwichtige opbouw van het personeelsbestand: Waarschijnlijk: De gemiddelde leeftijd van het personeel van de NEa is redelijk laag. Bij verdwijnen van de enkele fiouderenfl verdwijnt bovendien ook veel deskundigheid. Beperkte schade Permanent Schade door diefstal, brand, inbraak, etc. Waarschijnlijk: Ondanks goede beveiligingsmaatregelen zijn bepaalde zaken (zoals diefstal) niet uit te sluiten Beperkte schade Permanent
PAGE - 11 ============
Het risicobeleid van de NEa 10 Hoofdstuk 4. Beheersmaatregelen Voor de relevante risico's is een beleid opgesteld met maatregelen waarmee deze kunnen worden beheerst. 1. Beheersen van de mogelijke gevolgen van een risico. Er zijn twee mogelijkheden om de mogelijke gevolgen van een risico te beheersen, namelijk door: - opheffen de organisatie stopt met bepaalde activiteiten, bijvoorbeeld het afstoten van taken of het uitbesteden van taken waarop een risico wordt gelopen. Dat kan tot gevolg hebben dat de doelstellingen die met de activiteiten worden beoogd niet kunnen worden gerealiseerd; - negatieve gevolgen beperken en verminderen door preventieve maatregelen wordt beoogd het schaderisico te beperken en - indien het zich toch materialiseert - deze zo beperkt mogelijk te houden. Een voorbeeld hiervan is een calamiteitenplan. 2. Financieren van de mogelijke gevolgen van een risico. - Uit eigen middelen. De organisatie treft zelf maatregelen ter financiering/dekking van schade, ook wel 'risicofinanciering' genoemd. De risicofinanciering geschiedt uit eigen middelen. Voorbeelden zijn het aanhouden van reserves en het treffen van voorzieningen ten behoeve van de risicodekking. - Uit additioneel verkregen middelen. Sommige schades zijn additioneel in rekening te brengen aan derden, bijvoorbeeld door eenmalige verrekening. - De gevolgen voor de - indicatieve - openingsbalans Het risicobeleid van de NEa staat in onderstaande schema™s beschreven.
22 KB – 15 Pages