
De code voor Z (Zulu) – zeven eigenschappen – volgens de Internationale Code van Signalen. ‘Ik heb een loods/sleepboot nodig’ – de controller?
Zeven eigenschappen voor de effectieve implementatie van risicomanagement.
Robert ‘t Hart, Directeur Naris*.
Vertrouwen komt te voet en gaat te paard. Het wat afgezaagde maar zeer ware gezegde krijgt voor overheidsinstanties in de praktijk steeds meer betekenis. Vertrouwen krijgen van en uitstralen naar de stakeholders wordt belangrijker. Tegelijk is het verlies van dit vertrouwen iets dat steeds eerder en vaker gebeurt.
De transparanter wordende wereld, governance richtlijnen en regelgeving – zoals het weerstandsvermogen voor gemeenten en waterschappen – liggen aan deze ontwikkeling ten grondslag. Was het vroeger nog mogelijk om een vertrouwensbreuk intern op te lossen, met de opkomst van fenomenen zoals internet ligt overheids-falen snel op straat. De gevolgen van het toenemend belang dat aan vertrouwen wordt gehecht en van het verlies ervan, worden ook steeds duidelijk. Jarenlang je afspraken nakomen en de gestelde doelen halen, zorgt voor een geleidelijk opbouw van het vertrouwen dat stakeholders aan overheden geven. Dit werk wordt echter snel teniet gedaan door menselijk handelen of falen.
De recente ontwikkelingen bij de belastingdienst zijn daar een sprekend voorbeeld van. Datzelfde geldt voor het verlies van belangrijke gegevens de afgelopen jaren, zoals dat diverse malen gebeurde bij instanties als het Openbaar Ministerie, Defensie en Justitie.
Vroegtijdig transparant
Bestuurders en directies zijn in het licht van deze ontwikkelingen gebaat bij een organisatie die potentiële tegenvallers in een vroegtijdig stadium intern transparant maakt, zodat er makkelijk bijgestuurd kan worden. Om dit mogelijk te maken, moet risicomanagement professioneler worden opgepakt. Bovendien: ‘Wij doen aan structureel risicomanagement’ is natuurlijk een mooie boodschap naar buiten toe.
Over het algemeen komt risicomanagement via het bestuur of directie bij de controller terecht. Op zich logisch, want als iemand een helikopterview heeft is hij of zij dat wel. De controller is echter steeds minder in een positie om die helikopterview te vertalen naar praktische maatregelen.
Tijdens de Dag van de public controller was de kernboodschap van de meeste sprekers – waaronder keynote speaker Prof. dr. Aardema – dat de controller zich door de uitholling van diens functie door rekenkamers en auditors proactiever dient te gedragen. In dit artikel beschrijven we hoe risicomanagement ondersteuning kan bieden in dit proces van verandering.
Veranderende rol controller
Van oudsher is de controller verantwoordelijk voor het financieel in controle zijn van de organisatie. In het verleden was dan ook het hoofd financiën tevens de controller. Hierbij speelt het afleggen van financiële verantwoording een grote rol. In de loop der jaren is de onafhankelijkheid van de controller steeds beter verankerd. Toch creëert elke organisatie zijn eigen vorm van controle en kent de controller veel verschijningsvormen. Dé controller bestaat dus niet, maar verandert wel. Theorie versus de praktijk.
De adviseur
Regelmatig groeit er een natuurlijke aversie tussen management en de controllers. Een van de redenen is volgens Dick Maaskant (Concerncontroller gemeente Roosendaal, voormalig red.) een te sterke nadruk op de klassieke P&C rapportages. Deze rapportages zijn gefocust op integrale financiële verantwoording, vragen veel managementtijd en leveren weinig toegevoegde waarde voor de managers. In plaats van detaillistische financiële informatie zou meer gestuurd moeten worden op hoofdzaken en risico’s. Dat vraagt specifieke competenties van managers en controllers: sturen op belangrijke zaken, niet alleen op urgente zaken. Zorg er samen voor dat je de sturing op orde hebt. Investeer in het voortraject, zodat er geen energie gebruikt moet worden voor zaken die al fout zijn gegaan.
Hiervoor is een heldere sturingsfilosofie gewenst, aldus Maaskant, waarbij prestatiemanagement een belangrijke sleutel vormt. De sociale vaardigheden van de controller vormen een steeds belangrijker aspect omdat controllers steeds meer als adviseur gaan optreden in plaats van als financiële directeur, met hiërarchische bevoegdheden, zoals in het verleden het geval was.
De initiator
Bert van de Velden (gemeentesecretaris Heemskerk, voormalig, red.) gebruikt het kraaiennest als metafoor voor de gewenste huidige controller. Hij moet zien wat er aan boord gebeurt maar moet vooral ook vooruit kijken, naar de toekomstige ontwikkelingen. Hij houdt het overzicht of aan boord van het schip de mensen en het systeem goed werken (plan, do, act, check cirkel). Naar de toekomst kijken betekent het proactief in kaart brengen van nieuwe ontwikkelingen en de impact daarvan op de organisatie. Dat moet leiden tot beslissingsondersteunende informatie voor de managers die daarmee hun doelstellingen kunnen bereiken en zo nodig kunnen bijsturen.
Ten aanzien van de macht aan boord van het spreekwoordelijke schip (oftewel de managers) benadrukt van de Velden het belang van het management om zich te laten adviseren. Privé gebeurt dat bij het afsluiten van een hypotheek van nature, maar in organisaties blijkt dit veel moeilijker te zijn. Zijn de manager en de organisatie in staat tot zelfreflectie? Kunnen zij leren van hun fouten? De controller dient dit te initiëren en te verankeren, waarbij support van de algemeen directeur cruciaal is.
De visies van Maaskant en Van de Velden lijken in lijn met Van Helden (1999). Deze onderzocht de veranderingen in de functie en rol van de controller, rekening:houdend met de opvattingen van belangrijke auteurs op dit vakgebied: Kaplan, Cooper en Johnson.
Los van de verschillen concludeert hij dat algemeen lijkt te worden onderkend dat de betekenis van niet-financiële informatie in het werk van de controller zal toenemen, en dat deze hierdoor meer met andere disciplines dient samen te werken. Daarnaast concludeert Van Helden dat in het takenpakket van de controller naar verwachting de beslissingsondersteunende rol aan belang zal winnen ten koste van de registratieve functie.
Veranderende rol risicomanagement
Risicomanagement is een containerbegrip. Veel specialisten doen aan risicomanagement op deelgebieden: juridisch, technisch, arbo, financieel/treasury. Zij kennen de risico’s en mogelijke beheersmaatregelen op hun deelgebied het beste. Ga maar eens met een brandverzekeringspecialist over sprinklers praten: hij heeft het op zijn manier over risicomanagement.
Integraal risicomanagement is echter een vak apart, zeker de toepassing ervan in organisaties. Met name deze vorm van risicomanagement is enorm in ontwikkeling en ontstijgt het traditionele kunstje van control. Twee belangrijke trends zijn zichtbaar. Enerzijds de zachte kant van risicomanagement – het tussen de oren krijgen – anderzijds de relatie tussen risicomanagement en doelstellingen.
Menselijk handelen
Organisaties beseffen in toenemende mate dat risicomanagement ook een echt managementissue is, waarbij het tussen de oren van de medewerkers krijgen van het belang ervan een must is. Zo heeft Shell, met al haar veiligheidsprocedures, onderzoek gedaan naar waarom procedures en regels niet nageleefd worden. Met de kennis dat 80 procent van de risico’s menselijk handelen als oorzaak kent, heeft de oliemaatschappij het management doorgelicht op risicohouding. Daarbij hanteerde Shell de verdeling ‘wolven’ en ‘schapen’.
De houding van het management is een belangrijke factor voor het risicoprofiel van de organisatie. Bij Shell bleek dat managers vaak ‘wolven’ waren, die met innovatief gedrag risico’s nemen en daarbij regels overtreden. De kans is groot dat de ‘schapen’ op de werkvloer dit gedrag imiteren.
Innovatie is goed en de controller dient de managers te helpen risico’s te nemen. Op die wijze kan ervoor worden gezorgd dat dit op een verantwoorde wijze gebeurt, en effectieve beheersmaatregelen en ervaringen uit het verleden worden meegewogen, zodat de kans op succes groter wordt.
Doelgericht
Ook in overheidsorganisaties zien managers de financiële verantwoording steeds meer als bijproduct. Zij beseffen dat een goede invoering van risicomanagement jaren in beslag kan nemen. Een cultuur verander je niet van de ene op de andere dag. Met dit besef wordt risicomanagement uit de accountantshoek getrokken in de richting van een bedrijfskundige oriëntatie. Trainingen op decentraal niveau bieden een goed instrument om deze boodschap over te dragen.
Risicomanagement krijgt ook een positievere benadering met de in ontwikkeling zijnde ISO 31000 Risk Management – Guidelines. Dat blijkt bijvoorbeeld al uit de voorgenomen definitie van het begrip ‘risico’: Effect of uncertainty on objectives.
Deze richtlijn moet hét gemeenschappelijke raamwerk gaan bieden voor het managen van risico’s. Los van een positieve definitie is er in deze norm een helder onderscheid gemaakt tussen de principes van risicomanagement, de processen en het raamwerk. Ook gemeenten koppelen hun risico’s in toenemende mate aan de programmadoelstellingen. Daarmee wordt duidelijker dat risicomanagement dient bij te dragen aan de minst risicovolle manier om de doelen te bereiken.
Relatie controller – (risico)management
De relatie tussen financieel risicomanagement en de controller is altijd sterk geweest. Er dient voldoende vermogen te zijn om de zaak draaiende te houden, dus moet er een buffer zijn en wordt de solvabiliteit altijd in de gaten gehouden. Voor gemeenten was per huishouden bijvoorbeeld een risicobuffer van 20 euro voldoende. Om vooruit te kijken, schatte de controller zelf of door middel van een kort rondje langs de afdelingen of er nog grote financiële risico’s aanwezig waren. Voor deze grote risico’s trof financiën vervolgens een voorziening, zodat het risico beheerst was.
Een ouderwetse werkwijze, met als filosofie dat er geen risico’s zijn als de organisatie voldoende buffers heeft om ze op te vangen. De risico’s zijn echter niet minder, er is alleen geld opzijgezet om de gevolgen van fouten op te vangen. Managers in de lijn vonden dit prima: met het noemen van het risico was de verantwoordelijkheid overgedragen aan de afdeling financiën die het risico verder beheerste. De organisatie is in control… of toch niet? In de praktijk blijkt dit niet het geval te zijn. De voorbeelden – veelal breed uitgemeten in de media – zijn legio: projecten buiten budget, extra kosten voor gemeenschappelijke regelingen, vormfouten met grote gevolgen, extra kosten implementatie nieuwe regelgeving.
Met deze oude werkwijze (gericht op de gevolgen) kan een controller risico’s niet voorkomen. De managers met specialistische kennis nemen vanuit hun functie continu beheersmaatregelen welke de oorzaak beperken, om op die wijze risico’s te voorkomen. Kennisdeling over deze bestaande effectieve beheersmaatregelen vindt onvoldoende plaats, omdat deze managers niet zijn gewend om te communiceren over risico’s, zelfs niet met hun collega’s. Zo is niet helder welke strategieën succes hebben en welke niet. Bovendien verdwijnt deze vaak cruciale kennis bij bijvoorbeeld het vertrek van de manager in kwestie door onvoldoende borging.
Lerende organisatie
De controller is de spin in het web. Hij of zij is bij uitstek de persoon die in staat moet zijn om ervoor te zorgen dat kennis over risicomanagement bewaard blijft en gedeeld wordt, waardoor een lerende organisatie ontstaat. De controller kan met een helikoptervisie zien waar risico’s vergelijkbaar zijn of waar een vergelijkbare aanpak succesvol kan zijn en kan door proactief optreden faciliteren dat risicomanagement in de genen van de organisatie komt te zitten.
De grootste uitdaging is te zorgen dat managers die zich met risicomanagement bezig houden, transparanter worden en leren hun kennis te delen. De controller moet deze managers in ruil iets te bieden hebben: tijd en toegevoegde waarde. Het moet de manager niet te veel tijd kosten, dus de manager moet ondersteund worden door iemand (bijvoorbeeld een risicomanagementcoördinator) in zijn directe omgeving.
Toegevoegde waarde ontstaat voor de manager als het delen van kennis hem of haar helpt in het maken van keuzes bij ontwikkelingen die het behalen van zijn of haar doelstellingen in gevaar kan brengen. Hierbij speelt inzicht in zijn blinde vlekken een belangrijke rol. Daarnaast kan het binnen de afdeling sturen op risico’s het verantwoordelijkheidsgevoel van de medewerkers vergroten.
Concrete handvatten voor de veranderende controller
7 eigenschappen
Risicomanagement kan een concreet instrument zijn om de afstand tussen de managers en control te verkleinen en om de toegevoegde waarde van de controller te vergroten. Stephen Covey werd wereldberoemd met zijn boek ‘The 7 Habits of Highly Effective People’ (in Nederland vertaald als ‘De 7 eigenschappen van effectief leiderschap’). Het boek schetst zeven eigenschappen om in het werk en privé effectiever te worden. Deze eigenschappen sluiten naadloos aan bij de relatie controller – risicomanagement.
1. Wees proactief
Als risicomanager moet je eigenlijk zeer risiconemend zijn. Vooral sociaal gezien. Als jij niets doet, gebeurt er ook niets. Je moet iets in gang zetten, denken, durven en vooral doen! Stap buiten je comfort zone, en durf dus sociale risico’s te nemen; voor groepen staan, aan- en tegenspreken, communiceren.
Creëer aandacht voor het onderwerp op een creatieve wijze, maak een filmpje, of een andere ludieke actie. Stap bij management binnen, breng het onderwerp ter sprake en zet het op de agenda.
Oriënteer jezelf op het onderwerp via opleidingen, ga kijken bij je collega’s, en lees literatuur over bestaande normen en ontwikkelingen en bepaal je eigen visie.
Risicomanagement wordt door het top management vaak weg-gedelegeerd. Durf de weg omhoog ook weer te nemen en vraag expliciet om draagvlak voor je visie en aanpak en eis dat zij dit intern communiceren. Hoewel het vaak op je bord komt te liggen, wil dit niet betekenen dat je het zelf allemaal alleen moet doen. Zoek daarom enthousiaste medestanders, zorg voor een breed enthousiast kernteam. Slim is ook om vooraf de weerstand in de organisatie te inventariseren, en denk na hoe je die zo positief mogelijk kunt pareren.
2. Begin met een doel voor ogen
De nieuwe COSO ERM en ISO31000 hebben als doelstelling voor risicomanagement “waarde creatie en waardebehoud”. De nieuwe COSO ERM koppelt daarnaast risicomanagement expliciet aan strategie en performance. Kortom je zult wel eerst een beeld moeten krijgen hoe de organisatie waarde creëert en wat haar strategie naar de toekomst is. Lees deze documenten en interview de betrokkenen. Begin met het vormen van je visie hoe je de link tussen waardecreatie, strategie & sturing en risicomanagement ziet. Voordat je nadenkt over de stappen dien je eerst in beeld te brengen wat er al aan risicobeheersing wordt gedaan. Vaak verwijs ik naar het filmpje van Simon Simek over ‘the why”. Twee voorbeelden uit de praktijk:
- Door vooruit te kijken nu en in de toekomst als organisatie maatschappelijke waarde te creëren, door het vinden van de juiste balans tussen risico’s nemen en beheersen.
- Voorspelbaarheid van realisatiedoelen te vergroten, door onzekerheden expliciet mee te nemen en te gebruiken voor focus en beheersing.
Ga dus dieper dan alleen het creëren van risicobewustzijn. Waarom wil men dat medewerkers risicobewust zijn? Meer integrale verantwoordelijkheid bij de medewerkers. Probeer daar het antwoord op te vinden.
3. Stel prioriteiten
Als je het doel voor ogen hebt, kun je ook de juiste positionering van risicomanagement in de organisatie bepalen. Doe niet alles tegelijk, bepaal een groeipad. Hierbij zijn fasering en timing van belang, zeker als je het in de haarvaten van de organisatie wilt krijgen.
Eerst een quick-scan of een presentatie voor het management, een training voor medewerkers of toch eerst een notitie risicomanagement? Veel van deze keuzes hangen af van de urgentie om met risicomanagement aan de gang te gaan. Stel een concreet plan van aanpak op, dat past bij de fase waarin de organisatie zich bevindt.
Met deze eerst drie eigenschappen heb je je positie neergezet en sta je sterk en is het tijd om te gaan delen. Denk daarom bij het vaststellen van de prioriteiten reeds aan de vierde eigenschap; win-win. Oftewel met welke stappen is de olievlek het grootst, en kun je de meeste medewerkers meekrijgen.
4. Een win-win situatie creëren
Ga de organisatie in! Benader andere afdelingen zowel in het primaire als het secundaire proces , bijv. HR, IT, kwaliteit, Audit en vergeet vooral communicatie niet. Zij doen allemaal al iets aan risicomanagement alleen ze noemen het niet zo. Leer hen het risicodenken en risicogestuurd werken.
Bied hulp, opleidingen en tooling aan maar laat ruimte voor maatwerk per organisatieonderdeel/sector/afdeling, zodat het aansluit bij de doelstellingen/cultuur.
Zorg voor een olievlekwerking door andere mensen hun eigen succes te gunnen. Blijf zelf meer op de achtergrond en facilitair en enthousiasmeer je ambassadeurs op decentraal niveau.
5. Luisteren voordat je begrepen wilt worden
Risicomanagement gaat niet alleen over nieuwe beheersing maar vooral over het bespreken van de reeds bestaande beheersmaatregelen. Elke manager heeft een risk appetite en is bezig met de balans tussen risico’s nemen en beheersen. Luister en probeer zijn overwegingen en dilemma’s te begrijpen. Maar om te kunnen luisteren dien je de juiste vragen te stellen.
- Welke doelstellingen en ontwikkelingen staan hoog op agenda?
- Waarin wil men succesvol zijn?
- Wie of wat heeft men daarvoor nodig?
- Welke stuurinformatie, procesbeschrijvingen, businessmodellen gebruikt de manager om beslissingen te nemen.
Luisteren is moeilijk en er bestaan meerdere niveau’s. Let op de lichaamstaal en woorden die gebruikt worden. Vraag ook vooral door op de antwoorden die gegeven worden.
6. Synergie
Behoud je helikopterview en de integraliteit, en laat je niet wegzuigen in het risicomanagementproces zelf. Deel de kennis over integrale risico’s en de mogelijke beheersing.
Zorg voor tooling, zodat je de standaard taal kunt uitrollen in de organisatie en er kennisdeling mogelijk is. Maak een interne integrale risicorapportage zodat men van elkaar kan leren. Koppel risicomanagement waar mogelijk aan andere vormen van control. Bewaak de totale kosten voor risicomanagement, trainingen, risicoanalyses, systemen, interimmers et cetera.
Nadat je deze stappen hebt gezet dien je volgens Covey ten slotte…
7. De zaag scherp houden
Het is van belang het tussen de oren van de medewerkers te krijgen en te houden.
- Benader nieuwe medewerkers of externen om hun visie over risico’s met anderen te delen.
- Koppel risicomanagement aan de strategie en sturing van de organisatie.
- Ga aan de slag met risk appetite.
- Organiseer regelmatig trainingen, bijeenkomsten over; risicomanagement /strategische risico’s/risicobewustzijn/ projectrisico’s/ risicoperceptie.
- Stel een stuurgroep/risk committee in, verfris regelmatig je kernteam.
- Ontwikkel nieuwe technieken, ga bij andere bedrijfstakken kijken om te kijken hoe zij het doen.
- Blijf koppelen aan nieuwe ontwikkelingen binnen de organisatie.
- Bewaak het “risicogeweten” (kennisdatabase) van de organisatie.
Last but not least:
Stuur erop dat het centraal en decentraal regelmatig op agenda staat!
Bibliografie
Helden, G.J. van (1999): Veranderingen in de functie en rol van de controller. Hand-boek Management Accounting
Stephen Covey werd wereldberoemd met zijn boek ‘The 7 Habits of Highly Effective People’
Website: http://www.energyinst.org.uk/
Concepttekst ISO 31000 Risk Manage-ment – Guidelines
Daniel Kahneman; Maps of bounded rationality: a perspective on intuitive judgment and choice. Prize Lecture, December 8, 2002, by Princeton Universi-ty, Department of Psychology, Princeton, NJ 08544, USA.
Bronvermelding
Het gedeelte ‘Concrete handvatten voor de veranderende controller/7 eigenschappen’ is door de auteur bijgewerkt op zijn blog en hier opgenomen.
*Oorspronkelijk gepubliceerd in 2006.