2.5 Weerstandsvermogen en risicobeheersing
GBLT loopt bij het uitoefenen van taken financiële risico’s. Onder risico wordt hier bedoeld de kans dat een onverwachte en onzekere gebeurtenis plaatsvindt, waarbij gevolgen ontstaan waarvan de financiële omvang nog niet is vast te stellen. Hierbij valt te denken aan fraude, claims van derden, rechtsgedingen en onzekerheden in investeringen. GBLT is daarop alert en voert daarom daarop gerichte interne controles, audits en fraude-analyses uit.
Risicomanagement
In de Kadernota 2019 is de doelstelling opgenomen om te groeien naar een hoger volwassenheidsniveau. Om dit te bereiken is in 2017 een start gemaakt met het ontwikkelen van het organisatie brede risicobewustzijn, onder andere door het organiseren van presentaties voor het management en de afdelingen.
Het risicomanagement- en controlesysteem richt zich op de belangrijkste risico’s (de key-risks). Op grond van de eerste inventarisatie en analyse eind 2017 zijn 69 (detail)risico’s in beeld gebracht verdeeld over de zeven key-risks:
1. data- en informatie veiligheid niet op orde;
2. onvolledige/onjuiste/niet tijdige dataverwerking;
3. onvolledige/onjuiste/niet tijdige oplegging;
4. onvolledige/onjuiste/niet tijdige inning;
5. onvolledige/onjuiste/niet tijdige afhandeling klantreactie;
6. onvolledige/onjuiste/niet tijdige verantwoording;
7. continuïteit.
Alle afdelingen hebben aan het eind van het eerste kwartaal van 2018 gerapporteerd over de status van de detailrisico’s en de werking van de beheersmaatregelen. In deze periode heeft bij sommige afdelingen tevens een heroverweging plaats gevonden op de oorspronkelijke risico beoordeling. Dit past binnen de risicomanagementcyclus en helpt de organisatie om risicomanagement op een steeds hoger niveau te tillen.
Ten aanzien van key-risk 6 (verantwoording) is gewerkt aan de verdere professionalisering van rapporteren en verantwoorden. Zo is een uitgebreide inventarisatie op het huidige proces uitgevoerd en een derde business controller aangesteld. We kunnen stellen dat ook de risico’s op dit vlak in voldoende mate in beeld zijn en dat in het huidige proces, om te komen tot de verantwoordingsrapportages, beheersmaatregelen worden toegepast om de eventuele risico’s te mitigeren.
Bij een tweede evaluatie/rapportage over de risico’s is geconcludeerd dat voor key-risk 6 het risico afgenomen is door de ingezette acties van het management. Tevens blijkt dat diverse risico’s zich bevinden op het snijvlak tussen de huidige afdelingen en het in ontwikkeling zijnde Gegevensbeheer.
Tevens is in 2018 een frauderisico analyse uitgevoerd. Op basis van deze analyse zijn geen (significante) bevindingen gedaan. In 2019 wordt deze analyse geïntegreerd binnen risicomanagement.
Om de risicomanagementcyclus adequaat te begeleiden en doorlopend te verbeteren, is eind 2018 een adviseur risicomanagement aangesteld. Helaas heeft dit langer geduurd dan we in eerste instantie verwacht hadden. De adviseur risicomanagement is tevens de opvolger van de huidige capaciteit interne controle, die halverwege 2019 uitstroomt. De intensivering van risicomanagement past in een meerjarige ontwikkeling naar een hoger volwassenheidsniveau in lijn met de ambitie van GBLT.