Meldkamers moeten meer werk maken van het inschatten van risico’s op digitale aanvallen op hun systemen. Wanneer de systemen van meldkamers verstoord raken, zijn de hulpdiensten niet goed bereikbaar. De hulpverlening, crisisbeheersing en opsporing lopen dan gevaar. Dat stelt de Inspectie Justitie en Veiligheid (Inspectie JenV) in het vandaag verschenen rapport: “Beveiliging van meldkamersystemen – een onderzoek naar het inrichten en borgen van risicomanagement”. Volgens de Inspectie JenV moet het bestuur van de meldkamers prioriteit geven aan het in kaart brengen van cyberrisico’s en hoe die aan te pakken.
De meldkamer is het eerste contact met de hulpdiensten van de brandweer, ambulance, politie en de Koninklijke Marechaussee (KMar) voor mensen die 112 bellen. Andersom krijgen de hulpdiensten via de meldkamers informatie over een incident waar hun hulp bij wordt gevraagd. Meldkamers zijn ook cruciaal bij rampenbestrijding, crisisbeheersing, opsporing en handhaving van de openbare orde. Het is dan ook van belang dat zij onverminderd bereikbaar blijven en dat ze goed beschermd blijven tegen toenemende digitale aanvallen. Hierbij schakelen criminelen computersystemen uit en eisen losgeld. Goede beveiliging zorgt ervoor dat hulpverleners bij informatie in de meldkamersystemen kunnen komen wanneer ze dat willen, dat de informatie klopt en dat de informatie niet bij anderen terechtkomt. Dan kan het gaan om informatie over meldingen en van hulpdiensten die onderling met elkaar in contact zijn.
Volgens de Inspectie JenV is het daarom van belang dat meldkamers voortdurend op de hoogte blijven van de specifieke risico’s voor hun computersystemen en de mogelijke gevolgen hiervan. Hoewel de ICT-afdeling beveiligingsmaatregelen treft, gebeurt dat nu niet op basis van een zo volledig mogelijk en actueel inzicht in de digitale risico’s. Het bestuur van de meldkamers moet daarom serieus de beveiliging van de meldkamersystemen gaan aansturen, aldus de Inspectie JenV. Ook vraagt zij het ministerie van Justitie en Veiligheid om samen met de meldkamers goed te kijken naar de verantwoordelijkheden voor de meldkamersystemen. Dit zodat de beveiliging in de praktijk beter uitvoerbaar wordt.
De Inspectie JenV vindt de continuïteit van de meldkamers al jarenlang een zorgpunt. Ook in 2021 vroeg zij, samen met Agentschap Telecom, aandacht hiervoor.
We zitten gevangen in regels en protocollen, waardoor belangrijke risico’s onvoldoende aandacht krijgen.
“Ik zou het niet erg vinden als premier Rutte dit ook eens zou horen”, zegt hoogleraar Arco van de Ven over de verkeerde focus op risicomanagement. De docent van de NBA-cursus ‘Risicobereidheid in de publieke sector’ vindt dat organisaties bij risicomanagement meer moeten kijken naar de maatschappelijk aanvaardbare ondergrens. Er is steeds meer aandacht voor risicomanagement. Maar de nadruk ligt te veel op het hanteren van methodieken en protocollen. Die zorgen echter voor een schijnveiligheid, stelt Van de Ven. “De focus ligt verkeerd”, zegt hij dan ook. Er gaat steeds meer geld naar risicomanagement, maar daarmee worden slechts de risico’s afgedekt die vrij makkelijk te voorspellen zijn en dat zijn over het algemeen niet de belangrijkste problemen.”
“Omdat er veel aandacht is voor risicomanagement, denken we dat we een risicomijdende samenleving zijn”, zegt Van de Ven. “Als er iets misgaat, schieten we meteen in een risicoregelreflex. Maar als je goed kijkt naar wat er dan gedaan wordt om gevaren uit te sluiten, zie je dat de risico’s die we daardoor nemen juist groter zijn.” Dat is ook wat er misgaat in de politiek. “De oplossingen waarmee politici komen, zijn niet meer van deze tijd. Bij een crisis een rapport laten opstellen of een commissie in het leven roepen zijn maatregelen die in het verleden misschien nog wel konden, maar in de huidige samenleving is dat niet meer toereikend.” Volgens de hoogleraar zie je deze tendens niet alleen bij de overheid of de politiek. Op lager niveau is het gedrag binnen organisaties hetzelfde. “Jammer”, zegt Van de Ven. “Juist zulke organisaties kunnen makkelijk een nieuwe weg inslaan.”
De auteur neemt deze zomer de weerstandsparagraaf (WP) onder de loep. In deel I is de eerste onderzoeksvraag beantwoord: wie schrijft de weerstands-paragraaf? Nu in deel II de tweede en derde onderzoeksvraag.
2. Welke aandacht wordt geschonken aan de mission Identification, dus aan de uitgangspunten van beleid, aan de gestelde normen.
Binnenlandse Zaken heeft voorgeschreven dat de gemeente in de WP aandacht moet schenken aan beleid. Hier zou onderscheid gemaakt kunnen worden tussen het beleid op hoofdlijnen, beleid voor de (middel)lange termijn, o.a. terzake van aan te houden normen, en anderzijds het beleid gericht op de concrete risico’s.
Wat dat ‘hogere’ beleid betreft is relevant wat Williams e.a. (1995) schrijven: de mission identification is de schakel tussen de doelen van de organisatie enerzijds en het beleid van het risk management (RM) anderzijds. Tegenwoordig wordt vaak verwezen naar RM als een instrument om de organisatiedoelen beter te bereiken, een goed RM kan kosten besparen, kan lange wachttijden voorkomen, kan leiden tot snellere realisatie van beleid, kan betere doelbereiking bevorderen. De grondslagen voor het gemeentelijk RM worden vastgelegd in een Nota Weerstandsvermogen, waarnaar verwezen wordt, of zou moeten worden, in de WP. Een probleem is dat de Nota vaak al enkele jaren oud is, niet jaarlijks wordt herijkt, wat natuurlijk vooral in een jonge beleidstak zich wreekt; risk management is nog volop in ontwikkeling, zou men denken.
Dat wat betreft het beleid gericht op de doelen, de middellange termijn. Daarnaast gaat het om beleid gericht op de specifieke risico’s in de voorliggende WP. Dan gaat het om per risico aan te geven op welke manier het risico wordt beheerst: verbieden, beperken, overdragen, accepteren (en op welke manier).
Wat is de empirische bevinding wat betreft beleidsuitspraken in de WP?
Er wordt weinig aandacht aan geschonken aan beleid in algemene zin.
In de onderzochte gemeenten wordt weinig aandacht geschonken aan die relatie. Interessant is wat Coevorden schrijft als doel:
‘Onze doelstelling is:
het realiseren van een gezonde financiële positie;
het voorkomen van ingrijpende beleidswijzigingen die noodzakelijk worden bij het zich voordoen van niet afgedekte risico’s. Dit wordt gerealiseerd door middel van beheersing van de risico’s en een positief weerstandsvermogen.’
Woensdrecht begint met een kopje: ‘Voorzichtig financieel beleid vormt het fundament voor de weerstandscapaciteit.’
Er wordt verwezen naar de norm voor de ratio Weerstandsvermogen van 1.4. Er wordt in de weerstandsparagraaf weinig aandacht geschonken aan beleid in algemene zin.
Kwalitatieve beoordeling risicomanagement
Valkenswaard wil zoeken naar evenwicht tussen financiële soliditeit enerzijds en het streven om niet onnodig geld ‘op de plank te laten liggen’ anderzijds. Een dergelijk geluid wordt vaker gehoord. Hier ook het misverstand over het beschikbaar zijn van de bronnen genoemd in de weerstandscapaciteit.
Interessanter is wat volgt: ‘Een belangrijk criterium hierbij is de kwalitatieve beoordeling van het risicomanagement. Als deze hoger uitvalt, kunnen we volstaan met een lagere weerstandscapaciteit en dus met een lager verhoudingsgetal.’
In de WP van Hardenberg wordt een opmerking gemaakt die hopelijk gevolgd wordt in alle gemeenten: ‘Voorzienbare tekorten op reguliere budgetten behoren niet tot de risico’s (…). Het heeft vanuit bedrijfseconomisch oogpunt de voorkeur dit op te lossen binnen de exploitatie.’
Losser maakt een soortgelijke opmerking: ‘Normale bedrijfsvoeringsrisico’s worden niet bij de risico’s opgenomen.’ Net zo: Vaals acht alleen die risico’s relevant voor de bepaling van de ratio die groter zijn dan €5.000. Als de tegenvaller van een risico lager wordt geschat dan dat bedrag, is het risico object van reguliere bedrijfsvoering. Deze risico’s dienen in principe binnen de productenramingen te worden opgevangen.’ Dit is overigens conform het voorschrift van BBV.
Eerste analyses corona-effecten op financiën gemeenten: divers beeld, veel posten nog PM
Tjerk Budding, Erwin Ormel, Rochelle Bremmer, Marleen Muller en Pim van Tatenhove | BMC en Zijlstra Center
Grote onzekerheid Openbare Financiën door corona
Er is grote onzekerheid over de financiële gevolgen van de coronacrisis en de economische ontwikkeling. Dat geldt niet alleen voor de Rijksbegroting, maar ook voor de financiën van gemeenten en provincies. Inmiddels er sprake van een forse economische krimp, die nu nog gecompenseerd wordt door een compensatiepakket van het Rijk. Of dit effect van korte duur zal zijn of langere tijd zal doorwerken, is nog onzeker en mede afhankelijk van de vraag of er straks sprake zal zijn van een tweede pandemie. De gemeenten zijn nu volop bezig om de effecten van de afgelopen maanden in kaart te brengen en een inschatting te maken van wat de komende periode op hen af komt. BMC ontwikkelde samen met de Vrije Universiteit Amsterdam (VU) de Corona Monitor, waarmee inschattingen van gemeenten worden geanalyseerd.
Eerste analyses geven wisselend beeld
Lagere opbrengsten uit toeristenbelasting, tegenvallende parkeeropbrengsten, maar ook kosten van zorg-, welzijns-, culturele instellingen en (sport)verenigingen, die onzeker zijn over hun financiële toekomst. Gemeenten hebben te maken met grote gevolgen van de coronacrisis. Samen met het Zijlstra Center van de Vrije Universiteit voert BMC een analyse uit van de rapportages die de gemeenten naar buiten hebben gebracht (Corona Monitor). Inmiddels zijn de rapportages van ruim 60 gemeenten geanalyseerd. De onderzochte gemeenten zijn goed voor ruim 43% van de totale gemeentelijke uitgaven. De analyses van de Nederlandse gemeenten over de ingeschatte corona-effecten zijn divers. Waar de ene gemeente rapporteert aan de hand van een uitgebreide monitor, volstaat een andere gemeente nog met globale overall inschatting. Lees meer
Public Risk Forum #5: Digitalisering en de nieuwe rol van de risicomanager
Op 8 juli 2020 vond de vijfde online discussie plaats van het Public Risk Forum, het platform voor dialoog en kennisuitwisseling van PRIMO. Leden van dit forum hebben van gedachten gewisseld over de digitalisering en de nieuwe rol van de risicomanager. Vooraf zijn de onderstaande vragen geformuleerd voor de te voeren gedachtewisseling:
Wat zijn de ervaringen onder de leden met risicomanagement bij digitalisering?
Wat zijn de belangrijkste aspecten van digitalisering die zich daarbij aandienen?
Wat is de rol die risicomanagers moeten gaan spelen bij zowel de kansen door innovatie en ontwikkeling als de risico‘s bij borging, beveiliging en bedrijfscontinuïteit?
Allereerst werd geconcludeerd dat het onderwerp actueel is, gelet op het feit dat de Corona crisis een boost heeft gegeven aan een verdere digitalisering van met name de bedrijfsvoering. Duidelijk is daarbij ook geworden dat er zich toch nog vrij snel veiligheidsproblemen kunnen voordoen door de vele externe netwerkverbindingen waarvan gebruik moet worden gemaakt. De Citrix-problematiek heeft dit ook nog eens aangetoond. Daarbij komt dat de overheid niet direct een goede naam heeft voor wat betreft de invoering van informatiesystemen en digitalisering.
Uit de discussie is naar voren gekomen dat er nog veelal wordt gedacht in mogelijke risico’s op projectniveau. Daar wringt mogelijk ook de schoen. Digitalisering is veelomvattend en gaat van automatisering van projecten, kantoorautomatisering tot het uitwisselen van data binnen de hele organisatie en digitale communicatie met externe partners. Op dit strategisch niveau ontbreekt het nogal eens aan het meedenken in de risico’s die de organisatie kan lopen.
De rol van de risicomanager is nu eenmaal het sturen om doelen SMART te formuleren. De deelnemers concludeerden dat het nu nog te veel blijft hangen in het geven van voorlichting. De risicomanager moet vaker op de deur kloppen, met name op het niveau waar de strategische beslissingen worden genomen.
De ervaring is ook dat dit niet altijd op prijs wordt gesteld. Begrijpelijk omdat de focus vaak op de mogelijkheden ligt en niet op onmogelijkheden. Niets mis mee, maar dat moet wel een op goede en afgewogen wijze tot stand komen.
Ook is geconcludeerd dat de risicomanager geen specialist in digitalisering behoeft te zijn. Hij of zij moet zich daarin wel verdiepen. De noodzaak daartoe wordt alleen maar groter, mede gelet op de tendens dat de audits van bijvoorbeeld de accountant ook steeds meer digitaal zullen worden uitgevoerd. Dit is alleen al op het eigen vakgebied en voor de organisatiedelen daarnaast van het grootste belang dat de juiste vragen op het juiste moment worden gesteld.
Als risicomanager moet je er dicht op zitten. Vaak spelen de technische aspecten voor een bepaalde oplossing/applicatie een hoofdrol en wordt het totaal uit het oog verloren. De ervaring is dat men daarvoor wel open staat, maar er moet wel iemand zijn die de organisatie daarop attendeert. De rol van de risicomanager is ook op dit vakgebied er een van behoeden voor fouten en helpen waar nodig is.
Aan dit Forum hebben deelgenomen: Pauline Strijers, Risicomanager bij het Ingenieursbureau van de gemeente Den Haag, Robert de Munnik, Risicomanager bij de provincie Noord-Brabant, Niels den Das, adviseur Risicomanagement gemeente Amsterdam, Ellen Gehner, Risicomanager provincie Zuid-Holland, Ed Mallens, Kwaliteits-/Risicomanager gemeente Rotterdam en Ronald Ouwerkerk, Controller bij de gemeente Pijnacker-Nootdorp. Namens PRIMO is de discussie geleid door Harrie Scholtens.
De volgende digitale bijeenkomst is gepland op woensdag 22 juli a.s. van 11.30 tot 12.30 uur. De lijnen staan open vanaf 11.00 uur.
Daarin zal centraal staan het Initiatief van PRIMO en KDZ (Zentrum für Verwaltungsforschung te Wenen, Oostenrijk) voor het opzetten van een aantal webinars over Risk Management en CAF (Common Assessment Framework). De webinars worden Europees aangeboden, met presentaties in het Engels en de mogelijkheid voor discussiegroepen met Duits, Engels en Nederlands als voertaal.
KDZ is een oorspronkelijk initiatief van de Vereniging voor Oostenrijkse Steden en is nu Internationaal actief met als inzet de verbetering van het openbaar bestuur in Europa. KDZ acteert op dat gebied ook voor de Europese Commissie op de Balkan.
Heeft dit alles uw interesse opgewekt voor het PRIMO Public Risk Forum, schroom dan niet contact op te nemen met PRIMO via admin@primonederland.nl.
In risicomanagement ligt de focus veelal op hard controls: de tastbare, harde elementen in een organisatie zoals structureren, systemen, procedures en protocollen. Een goed begin, maar organisaties die écht grip willen krijgen op risico’s, hebben ook aandacht voor de zachtere elementen, ofwel soft controls. Lees meer
‘Navigeren in de mist’ was het voor het kabinet de afgelopen maanden, volgens premier Mark Rutte. Honderd procent van de beslissingen nemen met vijftig procent van de informatie. Maar dankzij het nieuwe coronadashboard, met gegevens over besmettingen en drukte in steden en parken, zo vertelde vicepremier Hugo de Jonge, kunnen we nu remmen en gas geven wanneer het nodig is. Hij keek er opgelucht bij, tijdens de persconferentie. Kennis is macht. Zeker in tijden van crisis. Lees meer
De gemeente Amsterdam heeft een nieuwe methodiek ontwikkeld voor het bepalen van de erfpacht. Ruim driekwart van alle grond binnen de gemeentegrenzen valt onder de erfpacht. De nieuwe rekenmethode is niet met gejuich ontvangen door veel woningeigenaren in Amsterdam. Velen vragen zich af wat nu de betekenis is van de koop van een huis op erfpachtgrond. De reacties zijn heftig te noemen en er zijn door vele experts schriftelijke vragen gesteld aan de gemeente. De antwoorden hierop van de gemeente zorgden niet voor minder onrust, integendeel. De gemeente wordt er ook van beschuldigd een geheim model te hanteren. Lees meer
Coronavirus COVID-19 Global Cases by the Center for Systems Science and Engineering.
By Lauren Gardner at Johns Hopkins University CSSE – tracking the COVID-19 spread in real-time on our interactive dashboard with data available for download. We are also modeling the spread of the virus. Preliminary study results are discussed on our blog – in collaboration with Aleksa Zlojutro and David Rey at rCITI at UNSW Sydney, and Ensheng Dong at JHU CSSE.
Kabinet neemt maatregelen om kwaliteit accountantscontroles te verbeteren
De ministerraad heeft op voorstel van minister Hoekstra ingestemd met maatregelen om de kwaliteit van wettelijke controles te verbeteren. Zo komen er onder meer heldere criteria voor het meten van kwaliteit, valt het toezicht straks in zijn geheel onder de Autoriteit Financiële Markten en moeten de grootste accountantsorganisaties verplicht een raad van commissarissen hebben waarmee intern toezicht beter geborgd wordt. De maatregelen moeten naast duurzame verbetering van de kwaliteit ook zorgen voor een cultuuromslag op de werkvloer. Een kwartiermaker wordt aangesteld om alle betrokkenen om tafel te brengen en te zorgen voor de voortgang en uitvoering van maatregelen.
Onderzoek Commissie toekomst accountancysector
Het afgelopen jaar onderzocht de Commissie toekomst accountancysector (Cta) hoe de kwaliteit van accountantscontroles kon worden verbeterd. Er werd door accountantsorganisaties onvoldoende voortgang geboekt bij de noodzakelijke verbeteringen rondom de controles. De commissie sprak uitvoerig met de sector en deed onderzoek, zowel nationaal als internationaal. Daaruit bleek dat aanvullende maatregelen nodig zijn om ook het vertrouwen in de controles te verbeteren.
In reactie op het advies van de Cta komt de overheid nu met een stevig pakket aan maatregelen, waarbij rekening wordt gehouden met verschillen tussen grote en kleine accountantskantoren.
Minister Hoekstra: “Een goede wettelijke controle is de uitkomst van een traject waarin alle betrokkenen, dus niet alleen de accountant maar ook de gecontroleerde onderneming, hun verantwoordelijkheid nemen en de toezichthouder daar toezicht op houdt”. De maatregelen zijn dan ook nadrukkelijk voor alle partijen die betrokken zijn bij de totstandkoming van de jaarrekening van een onderneming. Read more
