De nieuwe rol van de controller

De code voor Z (Zulu) – zeven eigenschappen – volgens de Internationale Code van Signalen. ‘Ik heb een loods/sleepboot nodig’ – de controller?

Zeven eigenschappen voor de effectieve implementatie van risicomanagement. 

Robert ‘t Hart, Directeur Naris*.

Vertrouwen komt te voet en gaat te paard. Het wat afge­zaagde maar zeer ware gezeg­de krijgt voor overheids­instanties in de praktijk steeds meer betekenis. Vertrouwen krijgen van en uitstralen naar de stakeholders wordt belangrijker. Tegelijk is het verlies van dit vertrouwen iets dat steeds eerder en vaker gebeurt. 

De transparanter wordende wereld, governance richtlijnen en regelgeving – zoals het weerstandsvermogen voor gemeenten en waterschappen – liggen aan deze ontwikkeling ten grondslag. Was het vroeger nog mogelijk om een vertrouwensbreuk intern op te lossen, met de opkomst van fenomenen zoals internet ligt overheids-falen snel op straat. De gevolgen van het toenemend belang dat aan vertrouwen wordt gehecht en van het verlies ervan, worden ook steeds duidelijk. Jarenlang je afspraken nako­men en de gestelde doelen halen, zorgt voor een geleidelijk opbouw van het vertrouwen dat stakeholders aan over­heden geven. Dit werk wordt echter snel teniet gedaan door menselijk han­delen of falen.

De recente ontwikkelingen bij de belas­tingdienst zijn daar een sprekend voor­beeld van. Datzelfde geldt voor het verlies van belangrijke gegevens de afgelopen jaren, zoals dat diverse malen gebeurde bij instanties als het Open­baar Ministerie, Defensie en Justitie. 

Vroegtijdig transparant 

Bestuurders en directies zijn in het licht van deze ontwikkelingen gebaat bij een organisatie die potentiële tegenvallers in een vroegtijdig stadium intern trans­parant maakt, zodat er makkelijk bijge­stuurd kan worden. Om dit mogelijk te maken, moet risicomanagement professioneler worden opgepakt. Boven­dien: ‘Wij doen aan structureel risicomanagement’ is natuurlijk een mooie boodschap naar buiten toe. 

Over het algemeen komt risicomanage­ment via het bestuur of directie bij de controller terecht. Op zich logisch, want als iemand een helikopterview heeft is hij of zij dat wel. De controller is echter steeds minder in een positie om die helikopterview te vertalen naar praktische maatregelen. 

Tijdens de Dag van de public controller was de kern­boodschap van de meeste sprekers – waaronder keynote speaker Prof. dr. Aardema – dat de controller zich door de uitholling van diens functie door rekenkamers en auditors proactiever dient te gedragen. In dit artikel beschrij­ven we hoe risicomanagement onder­steuning kan bieden in dit proces van verandering. 

Veranderende rol controller 

Van oudsher is de controller verant­woordelijk voor het financieel in controle zijn van de organisatie. In het verleden was dan ook het hoofd finan­ciën tevens de controller. Hierbij speel­t het afleggen van financiële verant­woording een grote rol. In de loop der jaren is de onafhankelijkheid van de controller steeds beter verankerd. Toch creëert elke organisatie zijn eigen vorm van controle en kent de controller veel verschijningsvormen. Dé controller bestaat dus niet, maar verandert wel. Theorie versus de praktijk. 

De adviseur 

Regelmatig groeit er een natuurlijke aversie tussen management en de controllers. Een van de redenen is volgens Dick Maaskant (Concerncontroller gemeente Roosendaal, voormalig red.) een te sterke nadruk op de klassieke P&C rappor­tages. Deze rapportages zijn gefocust op integrale financiële verantwoording, vragen veel managementtijd en leveren weinig toegevoegde waarde voor de managers. In plaats van detaillistische financiële informatie zou meer gestuurd moeten worden op hoofdzaken en risico’s. Dat vraagt specifieke competenties van managers en controllers: sturen op belangrijke zaken, niet alleen op urgen­te zaken. Zorg er samen voor dat je de sturing op orde hebt. Investeer in het voortraject, zodat er geen energie gebruikt moet worden voor zaken die al fout zijn gegaan. 

Hiervoor is een heldere sturingsfiloso­fie gewenst, aldus Maaskant, waarbij prestatiemanagement een belangrijke sleutel vormt. De sociale vaardigheden van de controller vormen een steeds belangrijker aspect omdat controllers steeds meer als adviseur gaan optreden in plaats van als financiële directeur, met hiërarchische bevoegdheden, zoals in het verleden het geval was. 

De initiator 

Bert van de Velden (gemeentesecretaris Heemskerk, voormalig, red.) gebruikt het kraaiennest als metafoor voor de gewenste huidige controller. Hij moet zien wat er aan boord gebeurt maar moet vooral ook vooruit kijken, naar de toekomstige ontwikkelingen. Hij houdt het over­zicht of aan boord van het schip de mensen en het systeem goed werken (plan, do, act, check­ cirkel). Naar de toekomst kijken betekent het proactief in kaart brengen van nieuwe ontwik­kelingen en de impact daarvan op de organisatie. Dat moet leiden tot beslis­singsondersteunende informatie voor de managers die daarmee hun doelstellingen kunnen bereiken en zo nodig kunnen bijsturen. 

Ten aanzien van de macht aan boord van het spreekwoordelijke schip (ofte­wel de managers) benadrukt van de Velden het belang van het management om zich te laten adviseren. Privé gebeurt dat bij het afsluiten van een hypotheek van nature, maar in organisaties blijkt dit veel moeilijker te zijn. Zijn de manager en de organisatie in staat tot zelfre­flectie? Kunnen zij leren van hun fouten? De controller dient dit te initiëren en te verankeren, waarbij support van de algemeen directeur cruciaal is. 

De visies van Maaskant en Van de Vel­den lijken in lijn met Van Helden (1999). Deze onderzocht de verande­ringen in de functie en rol van de con­troller, rekening:houdend met de opvat­tingen van belangrijke auteurs op dit vakgebied: Kaplan, Cooper en Johnson. 

Los van de verschillen concludeert hij dat algemeen lijkt te worden onderkend dat de betekenis van niet-financiële informatie in het werk van de control­ler zal toenemen, en dat deze hierdoor meer met andere disciplines dient samen te werken. Daarnaast conclu­deert Van Helden dat in het takenpak­ket van de controller naar verwachting de beslissingsondersteunende rol aan belang zal winnen ten koste van de registratieve functie. 

Veranderende rol risicomanagement 

Risicomanagement is een container­begrip. Veel specialisten doen aan risicomanagement op deelgebieden: juri­disch, technisch, arbo, financieel/treasury. Zij kennen de risico’s en mogelijke beheersmaatregelen op hun deelgebied het beste. Ga maar eens met een brandverzekeringspecialist over sprinklers praten: hij heeft het op zijn manier over risicomanagement. 

Integraal risicomanagement is echter een vak apart, zeker de toepassing ervan in organisaties. Met name deze vorm van risicomanagement is enorm in ont­wikkeling en ontstijgt het traditionele kunstje van control. Twee belangrijke trends zijn zichtbaar. Enerzijds de zach­te kant van risicomanagement – het tussen de oren krijgen – anderzijds de relatie tussen risicomanagement en doelstellingen. 

Menselijk handelen 

Organisaties beseffen in toenemende mate dat risicomanagement ook een echt managementissue is, waarbij het tussen de oren van de medewerkers krijgen van het belang ervan een must is. Zo heeft Shell, met al haar veilig­heidsprocedures, onderzoek gedaan naar waarom procedures en regels niet nageleefd worden. Met de kennis dat 80 procent van de risico’s menselijk handelen als oorzaak kent, heeft de oliemaatschappij het management doorgelicht op risicohouding. Daarbij hanteerde Shell de verdeling ‘wolven’ en ‘schapen’. 

De houding van het management is een belangrijke factor voor het risico­profiel van de organisatie. Bij Shell bleek dat managers vaak ‘wolven’ waren, die met innovatief gedrag risi­co’s nemen en daarbij regels overtreden. De kans is groot dat de ‘schapen’ op de werkvloer dit gedrag imiteren. 

Innovatie is goed en de controller dient de managers te helpen risico’s te nemen. Op die wijze kan ervoor worden gezorgd dat dit op een verantwoorde wijze gebeurt, en effectieve beheersmaatrege­len en ervaringen uit het verleden wor­den meegewogen, zodat de kans op succes groter wordt. 

Doelgericht 

Ook in overheidsorganisaties zien managers de financiële verantwoording steeds meer als bijproduct. Zij beseffen dat een goede invoering van risicoma­nagement jaren in beslag kan nemen. Een cultuur verander je niet van de ene op de andere dag. Met dit besef wordt risicomanagement uit de accountants­hoek getrokken in de richting van een bedrijfskundige oriëntatie. Trainingen op decentraal niveau bieden een goed instrument om deze boodschap over te dragen. 

Risicomanagement krijgt ook een posi­tievere benadering met de in ontwikke­ling zijnde ISO 31000 Risk Manage­ment – Guidelines. Dat blijkt bijvoorbeeld al uit de voorgenomen definitie van het begrip ‘risico’: Effect of uncertainty on objectives. 

Deze richtlijn moet hét gemeenschappelijke raamwerk gaan bieden voor het mana­gen van risico’s. Los van een positieve definitie is er in deze norm een helder onderscheid gemaakt tussen de principes van risicomanagement, de processen en het raamwerk. Ook gemeenten koppelen hun risico’s in toenemende mate aan de programmadoelstellingen. Daarmee wordt duidelijker dat risicomanage­ment dient bij te dragen aan de minst risicovolle manier om de doelen te bereiken. 

 

Relatie controller – (risico)management 

De relatie tussen financieel risicoma­nagement en de controller is altijd sterk geweest. Er dient voldoende vermogen te zijn om de zaak draaiende te houden, dus moet er een buffer zijn en wordt de solvabiliteit altijd in de gaten gehouden. Voor gemeenten was per huishouden bijvoorbeeld een risicobuffer van 20 euro voldoende. Om vooruit te kijken, schatte de controller zelf of door mid­del van een kort rondje langs de afdelin­gen of er nog grote financiële risico’s aanwezig waren. Voor deze grote risi­co’s trof financiën vervolgens een voor­ziening, zodat het risico beheerst was. 

Een ouderwetse werkwijze, met als filo­sofie dat er geen risico’s zijn als de orga­nisatie voldoende buffers heeft om ze op te vangen. De risico’s zijn echter niet minder, er is alleen geld opzijgezet om de gevolgen van fouten op te vangen. Managers in de lijn vonden dit prima: met het noemen van het risico was de verantwoordelijkheid overgedragen aan de afdeling financiën die het risico ver­der beheerste. De organisatie is in con­trol… of toch niet? In de praktijk blijkt dit niet het geval te zijn. De voorbeel­den – veelal breed uitgemeten in de media – zijn legio: projecten buiten budget, extra kosten voor gemeen­schappelijke regelingen, vormfouten met grote gevolgen, extra kosten implementatie nieuwe regelgeving. 

Met deze oude werkwijze (gericht op de gevolgen) kan een controller risico’s niet voorkomen. De managers met spe­cialistische kennis nemen vanuit hun functie continu beheersmaatregelen welke de oorzaak beperken, om op die wijze risico’s te voorkomen. Kennisde­ling over deze bestaande effectieve beheersmaatregelen vindt onvoldoende plaats, omdat deze managers niet zijn gewend om te communiceren over risi­co’s, zelfs niet met hun collega’s. Zo is niet helder welke strategieën succes hebben en welke niet. Bovendien ver­dwijnt deze vaak cruciale kennis bij bij­voorbeeld het vertrek van de manager in kwestie door onvoldoende borging. 

Lerende organisatie 

De controller is de spin in het web. Hij of zij is bij uitstek de persoon die in staat moet zijn om ervoor te zorgen dat kennis over risicomanagement bewaard blijft en gedeeld wordt, waardoor een lerende organisatie ontstaat. De controller kan met een helikoptervisie zien waar risi­co’s vergelijkbaar zijn of waar een ver­gelijkbare aanpak succesvol kan zijn en kan door proactief optreden faciliteren dat risicomanagement in de genen van de organisatie komt te zitten. 

De grootste uitdaging is te zorgen dat managers die zich met risicomanage­ment bezig houden, transparanter wor­den en leren hun kennis te delen. De controller moet deze managers in ruil iets te bieden hebben: tijd en toege­voegde waarde. Het moet de manager niet te veel tijd kosten, dus de manager moet ondersteund worden door iemand (bijvoorbeeld een risicomanagement­coördinator) in zijn directe omgeving. 

Toegevoegde waarde ontstaat voor de manager als het delen van kennis hem of haar helpt in het maken van keuzes bij ontwikkelingen die het behalen van zijn of haar doelstellingen in gevaar kan bren­gen. Hierbij speelt inzicht in zijn blinde vlekken een belangrijke rol. Daarnaast kan het binnen de afdeling sturen op risico’s het verantwoordelijkheidsgevoel van de medewerkers vergroten. 

Concrete handvatten voor de veranderende controller

7 eigenschappen 

Risicomanagement kan een concreet instrument zijn om de afstand tussen de managers en control te verkleinen en om de toegevoegde waarde van de controller te vergroten. Stephen Covey werd wereldberoemd met zijn boek ‘The 7 Habits of Highly Effective People’ (in Nederland vertaald als ‘De 7 eigenschappen van effectief leiderschap’). Het boek schetst zeven eigenschappen om in het werk en privé effectiever te worden. Deze eigenschappen sluiten naadloos aan bij de relatie controller – risicomanagement. 

1. Wees proactief 

Als risicomanager moet je eigenlijk zeer risiconemend zijn. Vooral sociaal gezien. Als jij niets doet, gebeurt er ook niets. Je moet iets in gang zetten, denken, durven en vooral doen! Stap buiten je comfort zone, en durf dus sociale risico’s te nemen; voor groepen staan, aan- en tegenspreken, communiceren.

Creëer aandacht voor het onderwerp op een creatieve wijze, maak een filmpje, of een andere ludieke actie. Stap bij management binnen, breng het onderwerp ter sprake en zet het op de agenda.

Oriënteer jezelf  op het onderwerp via opleidingen, ga kijken bij je collega’s,  en lees literatuur over bestaande normen en ontwikkelingen en bepaal je eigen visie.

Risicomanagement wordt door het top management vaak weg-gedelegeerd. Durf de weg omhoog ook weer te nemen en vraag expliciet om draagvlak voor je visie en aanpak en eis dat zij dit intern communiceren. Hoewel het vaak op je bord komt te liggen, wil dit niet betekenen dat je het zelf allemaal alleen moet doen. Zoek daarom enthou­siaste medestanders, zorg voor een breed enthousiast kernteam. Slim is ook om vooraf de weerstand in de organisatie te inventariseren, en denk na hoe je die zo positief mogelijk kunt pareren.

2. Begin met een doel voor ogen 

De nieuwe COSO ERM en ISO31000 hebben als doelstelling voor risicomanagement “waarde creatie en waardebehoud”. De nieuwe COSO ERM koppelt daarnaast risicomanagement expliciet aan strategie en performance. Kortom je zult wel eerst een beeld moeten krijgen hoe de organisatie waarde creëert en wat haar strategie naar de toekomst is.  Lees deze documenten en interview de betrokkenen. Begin met het vormen van je visie hoe je de link tussen waardecreatie, strategie & sturing en risicomanagement ziet. Voordat je nadenkt over de stappen dien je eerst in beeld te brengen wat er al aan risicobeheersing wordt gedaan.  Vaak verwijs ik naar het filmpje van Simon Simek over ‘the why”. Twee voorbeelden uit de praktijk:

  • Door vooruit te kijken nu en in de toekomst als organisatie maatschappelijke waarde te creëren, door het vinden van de juiste balans tussen risico’s nemen en beheersen.
  • Voorspelbaarheid van realisatiedoelen te vergroten, door onzekerheden expliciet mee te nemen en te gebruiken voor focus en beheersing.

Ga dus dieper dan alleen het creëren van risicobewustzijn. Waarom wil men dat medewerkers risicobewust zijn? Meer integrale verantwoordelijkheid bij de medewerkers. Probeer daar het antwoord op te vinden.

3. Stel prioriteiten 

Als je het doel voor ogen hebt, kun je ook de juiste positionering van risicomanagement in de organisatie bepalen. Doe niet alles tegelijk, bepaal een groeipad. Hierbij zijn fasering en timing van belang, zeker als je het in de haarvaten van de organisatie wilt krijgen. 

Eerst een quick-scan of een presentatie voor het management, een training voor medewerkers of toch eerst een notitie risicomanagement? Veel van deze keuzes hangen af van de urgentie om met risicomanagement aan de gang te gaan. Stel een concreet plan van aanpak op, dat past bij de fase waarin de organisatie zich bevindt.

Met deze eerst drie eigenschappen heb je je positie neergezet en sta je sterk en is het tijd om te gaan delen. Denk daarom bij het vaststellen van de prioriteiten reeds aan de vierde eigenschap; win-win. Oftewel met welke stappen is de olievlek het grootst, en kun je de meeste medewerkers meekrijgen.

4. Een win-win situatie creëren 

Ga de organisatie in! Benader andere afdelingen zowel in het primaire als het secundaire proces , bijv. HR, IT, kwaliteit, Audit en vergeet vooral communicatie niet. Zij doen allemaal al iets aan risicomanagement alleen ze noemen het niet zo. Leer hen het risicodenken en risicogestuurd werken. 

Bied hulp, opleidingen en tooling aan maar laat ruimte voor maatwerk per organisatieonder­deel/sector/afdeling, zodat het aansluit bij de doelstellingen/cultuur. 

Zorg voor een olievlekwerking door andere mensen hun eigen succes te gunnen. Blijf zelf meer op de achtergrond en facilitair en enthousiasmeer je ambassadeurs op decentraal niveau.

5. Luisteren voordat je begrepen wilt worden 

Risicomanagement gaat niet alleen over nieuwe beheersing maar vooral over het bespreken van de reeds bestaande beheersmaatregelen. Elke manager heeft een risk appetite en is bezig met de balans tussen risico’s nemen en beheersen. Luister en probeer  zijn overwegingen en dilemma’s te  begrijpen. Maar om te kunnen luisteren dien je de juiste vragen te stellen.

  • Welke doelstellingen en ontwikkelingen staan hoog op agenda?
  • Waarin wil men succesvol zijn?
  • Wie of wat heeft men daarvoor nodig?
  • Welke stuurinformatie, procesbeschrijvingen, businessmodellen gebruikt de manager om beslissingen te nemen.

Luisteren is moeilijk en er bestaan meerdere niveau’s. Let op de lichaamstaal en woorden die gebruikt worden. Vraag ook vooral door op de antwoorden die gegeven worden.

6. Synergie 

Behoud je helikopterview en de integraliteit, en laat je niet wegzuigen in het risicomanagementproces zelf. Deel de kennis over  integrale risico’s en de mogelijke beheersing. 

Zorg voor tooling, zodat je de standaard taal kunt uitrollen in de organisatie en er kennisdeling mogelijk is. Maak een interne integrale risicorapportage zodat men van elkaar kan leren. Koppel risicomanagement waar mogelijk aan andere vormen van control. Bewaak de totale kosten voor risicomanagement, trainingen, risicoanalyses, systemen, interimmers et cetera.

Nadat je deze stappen hebt gezet dien je volgens Covey ten slotte…

7. De zaag scherp houden 

Het is van belang het tussen de oren van de mede­werkers te krijgen en te houden.

  • Benader nieuwe medewerkers of externen om hun visie over risico’s met anderen te delen.
  • Koppel risicomanagement aan de strategie en sturing van de organisatie.
  • Ga aan de slag met risk appetite.
  • Organiseer regelmatig  trainingen, bijeenkomsten over; risicomanagement /strategische risico’s/risicobewustzijn/ projectrisico’s/ risicoperceptie.
  • Stel een stuurgroep/risk committee in, verfris regelmatig je kernteam.
  • Ontwikkel nieuwe technieken, ga bij andere bedrijfstakken kijken om te kijken hoe zij het doen.
  • Blijf koppelen aan nieuwe ontwikkelingen binnen de organisatie.
  • Bewaak het “risicogeweten” (kennisdatabase) van de organisatie.

Last but not least: 

Stuur erop dat het centraal en decentraal regelmatig op agenda staat!

Bibliografie

Helden, G.J. van (1999): Veranderingen in de functie en rol van de controller. Hand-boek Management Accounting

Stephen Covey werd wereldberoemd met zijn boek ‘The 7 Habits of Highly Effective People’ 

Website: http://www.energyinst.org.uk/

Concepttekst ISO 31000 Risk Manage-ment – Guidelines 

Daniel Kahneman; Maps of bounded rationality: a perspective on intuitive judgment and choice. Prize Lecture, December 8, 2002, by Princeton Universi-ty, Department of Psychology, Princeton, NJ 08544, USA.

Bronvermelding

Het gedeelte ‘Concrete handvatten voor de veranderende controller/7 eigenschappen’  is door de auteur bijgewerkt op zijn blog en hier opgenomen.

*Oorspronkelijk gepubliceerd in 2006.