Illusory Risk Management

Marinus de Pooter*

Risicomanagement wordt doorgaans vormgegeven als een separaat systeem. In dit artikel ga ik na in hoeverre deze conventionele benadering ontaardt in een illusoir geheel. Als alternatief bespreek ik de waardemanagementbenadering, die managementteams helpt om samen te werken bij het blijven creëren én beschermen van wat hun kernstakeholders waardevol vinden.

Op de jaarlijkse conferentie van IIA Singapore in oktober 2018 heb ik een presentatie gegeven over illusory risk management. Centraal in mijn verhaal stond het grote verschil tussen enerzijds risicomanagement a1s een apart systeem en anderzijds waardemanagement. Dat laatste richt zich op het ondersteunen van beslissers bij het afwegen van relevante kansen en bedreigingen.

Conventioneel risicomanagement
Enterprise risk management (ERM) is in essentie een planning- en control concept, waarbij de organisatieleiding alle risico’s identificeert die van invloed kunnen zijn op de realisatie van doelstellingen. Vervolgens moet zij beheersmaatregelen ontwerpen en implementeren, waardoor de netto risicoblootstelling valt binnen de geformuleerde risicobereidheid. Door de risicoanalyse periodiek te herhalen en de werking van de beheersmaatregelen te controleren, kan het systeem daar waar nodig worden bijgesteld. Vanuit de behoefte om het systeem in te zetten als verantwoordingsinstrument ligt de nadruk op aantoonbaarheid.

In het COSO Enterprise Risk Management model van 2004 werd ERM gedefinieerd als: ‘a process… to provide reasonable assurance regarding the achievement of entity objectives’. Risico werd omschreven als: ‘the possibility that an event will occur and adversely affect the achievement of objectives’. Hiermee werd de toon gezet voor de huidige praktijk. Toezichthouders en consultants vertelden bestuurders dat het om een essentieel proces ging dat zij nog niet hadden. De omvangrijke ERM (later: governance, risk and compliance (GRC)) adviestak was geboren. Gevoed vanuit het oorspronkelijke COSO Internal control-gedachtegoed, lag hierbij bovendien de focus op zaken met negatieve effecten op het behalen van de organisatiedoelstellingen.

Risk: the possibility that events will occur

and affect the achievement of strategy and business objectives.

Het COSO ERM-model van 2017 geeft overigens een heel andere definitie. Het gaat nu over ‘culture, capabilities and practices’ in het licht van ‘creating, preserving and realizing value’. Risico wordt nu holistischer omschreven als: ‘the possibility that events will occur and affect the achievement of strategy and business objectives’; een definitie zonder ‘adversely’. De lSO 31000 Risk management principles and guidelines vat al sinds 2009 onder risico zowel mogelijke positieve aIs negatieve effecten. Het verwarrende is dat in het normale spraakgebruik risico gaat over zaken die je wilt voorkomen.

Conventioneel risicomanagement als illusoir systeem?
Als risicomanagement het antwoord is, wat was dan ook al weer de vraag? Vol verwondering kijkend naar de praktijk komt onwillekeurig deze gedachte op. Lang niet alles is op voorhand te voorzien, laat staan te beheersen. Het gaat niet primair om risicomijding, maar om het bewust omgaan met kansen én bedreigingen. Helpt de conventionele benadering beslissers echt om betere afwegingen te maken, of is het verworden tot een op zichzelf staand illusoir systeem? Op basis van de genoemde observaties is dat laatste volgens mij het geval.

Onzekerheidsreductie was de aanleiding, en maakbaarheid het uitgangspunt voor risicomanagement. In de meeste standaarden zijn deze stappen te herkennen: risico’s identificeren, beoordelen en adresseren. Als onvoorspelbaarheid en snelle verandering de boventoon voeren, werkt deze benadering dan? Denk aan de ‘unknown unknowns’, zwarte zwanen en chaos. Hoe kunnen we omgaan met toenemende complexiteit en afhankelijkheid, waarbij consistentie en stabiliteit verre van vanzelfsprekend zijn? In plaats van een set van vooraf gedefinieerde beheersmaatregelen komt het dan aan op alertheid, improvisatievermogen en flexibiliteit, op het vermogen om zo goed mogelijk om te gaan met onverwachte grote veranderingen. Een AO/IC-achtige instrumentele benadering van risico’s past daar niet bij.

In de praktijk gaan de staffunctionarissen van de afdeling Risicomanagement rond om hun risicolijsten te actualiseren. Als stafafdeling komen zij meer ophalen dan dat zij komen brengen. Beslissers daarentegen zijn gebaat bij collega’s die hen kunnen helpen om betere afwegingen te maken. Door de veronderstellingen te valideren dan wel ter discussie te stellen. Door te helpen bij het beoordelen van de kwaliteit van (zoveel mogelijk vooruitkijkende) informatie. Door advocaat van de duivel te spelen, relevante wat-als-vragen te stellen, brainstorming te faciliteren, Monte-Carlosimulaties uit te voeren, scenarioanalyses uit te werken, et cetera. Goed geïnformeerde besluitvorming is echter gemakkelijker geroepen dan gedaan. Prognoses vereisen relevante interne en externe informatie. Menig organisatie kampt met suboptimale informatiesystemen, die bovendien vooral terugkijkend ingestoken zijn.

Ook wordt soms de risicomanagementfunctie gepositioneerd als de sheriff die de cowboys in de business in toom moet zien te houden. Dat lijkt mij een vruchteloze structuur als die vrijbuiters niet uit het goede hout gesneden zijn, wegkomen met handelen in strijd met de gedragscode of niet evenwichtig worden beloond.

Observaties vanuit de praktijk
Tijdens mijn presentatie in Singapore deelde ik deze observaties met betrekking tot conventioneel risicomanagement. Dit is het beeld dat opdoemt in de praktijk:

  • Afzonderlijk vocabulaire gebruik met woorden die beginnen met ‘risico-‘, zoals risicocultuur naast organisatiecultuur en risico-indicatoren naast prestatie-indicatoren.
  • Streven naar een overkoepelende methodologie in plaats van beslissers te helpen met instrumenten die hen het best ondersteunen bij het omgaan met kansen en bedreigingen in hun specifieke situatie.
  • Risico’s zien als doelen niet als middel om mogelijke afwijkingen van de toekomstige resultaten in te schatten om vervolgens de interne organisatie waar nodig aan te passen.
  • Nagaan wat de realisatie van individuele organisatiedoelstellingen bedreigt en voorbij gaan aan het afwegen van conflicterende belangen bij het oplossen van dilemma’s.
  • Een separate functie of commissie creëren die gaat over risico’s in plaats van actief de vele verschillende expertisegebieden met elkaar te verbinden.
  • Aparte risico-eigenaren benoemen, alsof het omgaan met onzekerheid geen onder­deel is van de reguliere managementver­antwoordelijkheid en het proceseigenaar­schap.
  • Afzonderlijke risicomanagement­ beleidsstukken opstellen, terwijl het bij elk beleidsterrein gaat over het omgaan met kansen en bedreigingen.
  • Focussen op het formuleren van risicobe­reidheidsuitspraken in plaats van op het gesprek (als kritische huisvriend) over de veronderstellingen in voorstellen, plannen en prognoses.
  • Uitgebreide risicoregisters en risicodos­siers bijhouden in plaats van de waarschijnlijkheden na te gaan van mogelijke toekomstige afwijkingen van de geformu­leerde doelstellingen.
  • Omvangrijke control frameworks bouwen en testen (vaak ondersteund door dure applicaties), terwijl beslissers bij hun afwe­gingen vooral evenwichtige informatie nodig hebben.
  • lnzetten op preventieve hard controls (voorkomen is beter dan genezen) en beperkt oog hebben voor het belang van competenties (beoordelingsvermogen ) en intenties (integriteit).
  • Zich druk maken over risicoscores (risico­niveau) en weinig aandacht hebben voor de afhankelijkheden tussen risico’s en ons beperkte vermogen om waarschijnlijkheden goed in te kunnen schatten.
  • Risicomatrices (‘heatmaps’) gebruiken zonder zich te realiseren dat de geplotte punten voor waarschijnlijkheden en effec­ten verdelingen zijn (reeksen van mogelijke uitkomsten, elk met een bepaalde kans).
  • Uitgaan van rechttoe rechtaan relaties tussen oorzaken en gevolgen, terwijl veel toekomstige ontwikkelingen inherent chaotisch en onvoorspelbaar zijn.
  • Aparte risicorapportages opstellen naast reguliere managementrapportages, die niet aangeven in welke mate de verwachte uitkomsten zullen vallen binnen de aanvaardbare bandbreedtes.
  • Van collega’s verwachten dat zij (schone ) interne in control statements afgeven in plaats van de nadruk te leggen op het leren van (positieve en negatieve) ervaringen.
  • Bezig zijn met compliancevereisten, zoals risicoparagrafen, in plaats van zich in te zetten voor het uitwisselen van kennis en best practices tussen de organisatieonderdelen.
  • Gemakshalve voorbijgaan aan enorme complexiteit van de toekomst, die mede veroorzaakt wordt door de afhankelijkheid van vele interne en externe actoren met hun eigen belangen.
  • Risicomanagement als apart agenda-item beschouwen bij vergaderingen, alsof het bij de andere items niet zou gaan over het succesvol omgaan met kansen en bedrei­gingen.
  • Zich vooral druk maken over het mitigeren van allerlei mogelijke onheilen en niet bezig zijn met het optimaliseren van de risk-return balans.

De waardemanagementbenadering
De nieuwe edities van COSO ERM (2017) en ISO 31000 (2018) waren een mooie gelegenheid om de term risk management te vervangen door value management. Volgens beide standaarden draait het immers allemaal om het creëren en beschermen van meer(-)waarde. Het was echter nog niet zover. Je zou het ook success management kunnen noemen. Activiteiten ondernemen brengt altijd onzekerheid met zich mee. Om je succes te vergroten, moet je kansen benutten én onnodige verliezen beperken. Uiteindelijk wil je de zekerheid vergroten dat je bereikt wat je wél wilt en dat je niet krijgt wat je níet wilt.

Je bent als organisatie toekomstbestendig, als je erin slaagt om waarde te blijven creëren én te beschermen voor je kernstakeholders. Begrippen als ‘waarde’,’succes’ en ‘verbetering’ zijn op zich echter inhoudsloos. Ze krijgen inhoud door de betekenis die de stakeholders eraan hechten. Belanghebbenden kijken door verschillende brillen naar je organisatie. Vanuit hun belangen vinden zij bepaalde zaken waardevol. Denk bijvoorbeeld aan: innovatiekracht, punctualiteit, privacy, veiligheid, rechtmatigheid, integriteit, rendement en continuïteit.

Als risicomanagement het antwoord is,

wat was dan ook al weer de vraag?

Toekomstbestendigheid gaat over anticiperen op wat er zou kunnen gebeuren. Je wilt als managementteam weten waar je naar verwachting ongeveer zult uitkomen, en in hoeverre dat afwijkt van wat je kernstakeholders van je verwachten. Zijn jullie op de juiste weg? Of is er een gerede kans dat jullie het niet gaan halen? Proberen jullie in dat geval de juiste maatregelen te treffen? Of gaan jullie mogelijk de verwachtingen juist overtreffen, doordat jullie zo goed kunnen omgaan met onzekerheid? Zo bezien gaat het gewoon over (integraal) management. In plaats van een apart(e) programma, functie of commissie te hebben voor risico’s, kun je beter verbinding creëren tussen al degenen die vanuit hun deskundigheid een bijdrage kunnen leveren aan het benutten van kansen en het beperken van bedreigingen.

Strategische, tactische en operationele beslissingen nemen betekent: keuzen maken. Werkstandaarden en werkwijzen zijn bedoeld om de afwegingen van de beslissers in goede banen te leiden. Het bepalen van die spelregels is het domein van gespecialiseerde (staf)afdelingen. Al die experts houden zich bezig met het omgaan met specifieke kansen en bedreigingen. Doorgaans bouwen die enthousiast allerlei afzonderlijke managementsystemen, beheersraamwerken en rapportages. Hoe voorkom je met z’n allen dat dit leidt tot de bekende silovorming, wildgroei en daardoor waardevernietiging?

Samenwerking is nodig
Samenwerking is nodig zowel bij het inrichten van de interne organisatie als bij het rapporteren over hoe de vlag er naar verwachting bij zal hangen de komende periode. Risicomanagement is bij veel organisaties een van de vele functionele silo’s geworden. Naast alle andere soorten management, zoals: account-, asset-, compliance-, continuïteits-, crisis-, data-, incident-, informatie-, kennis-, kwaliteits-, lean-, logistiek-, personeels-, prestatie-, proces-, project-, reputatie-, security-, treasury-, veiligheids- en verandermanagement. Als managementteam ben je vooral gebaat bij het organiseren van één platform dat zorgt voor de verbinding tussen al die deskundigen.

Figuur 1. Vijf bouwstenen.

Om dat te bereiken ga je bij de waardemanagementbenadering als team aan de slag met vijf kernvragen. Het zijn de bouwstenen voor de praktische analyses die je kunt uitvoeren voor een afzonderlijk(e) bedrijfsproces, project, afdeling, vestiging, divisie, keten of voor de hele organisatie. Het zijn basisvragen die je aan iedere collega kunt voorleggen in het kader van het optimaliseren van de interne organisatie. Samen vormen ze de puzzel die elk team moet oplossen om effectief met kansen en bedreigingen om te gaan. De vijf componenten vormen samen ook de kapstok waar je alles aan op kunt hangen wat op dit moment al is geregeld (zie figuur 1).

Wie?
Bij het inrichten en optimaliseren van de interne organisatie moeten er steeds keuzen worden gemaakt. Dat vraagt om duidelijke mandatering, regie en coördinatie. Waardemanagement staat of valt met de effectiviteit van de governance: degenen die de keuzen mogen of moeten maken. Dit geldt zowel met betrekking tot de dagelijkse operatie als de voortdurende transformatie. Wie is én voelt zich in het team verantwoordelijk voor het behalen van welke geformuleerde doelstellingen? Diegene moet ook kunnen meebeslissen hoe het best kan worden omgegaan met de kansen en bedreigingen. Een prominent en praktisch vraagstuk betreft het mandaat van de experts van de stafafdelingen. In hoeverre mogen zij aan de collega’s die de klanten bedienen werkwijzen voorschrijven, dan wel mogen zij hen slechts adviseren? Hoe zorg je er als managementteam enerzijds voor dat de stafspecialisten de lijnverantwoordelijken scherp houden, en hoe voorkom je anderzijds dat deze experts in hun enthousiasme te ver doorschieten?

Wat?
Voor elk team is het zinvol om een integraal overzicht te hebben van de geclusterde activiteiten waarmee iedereen zich bezighoudt. Het geeft het gemeenschappelijke speelveld weer voor alle betrokkenen. Dit gaat over de ‘leefwereld’, het ‘verrichten’. Dit overzicht van besturende, primaire en ondersteunende processen geeft inzicht in alle relevante transactiestromen en -volumes. Het vormt ook de basis voor het applicatielandschap voor de verwerking van die transacties. Het is daarmee het substraat voor de informatieverwerking, business intelligence en dus prognoses. Het voordeel van beter inzicht in wie wat doet is evident bij integratietrajecten en ketensamenwerking.

Waarom?
Het succes van elke organisatie wordt bepaald door de mate waarin de kernstakeholders tevreden zijn. Dit gaat over de ‘bedoeling’, het ‘richten’. De belanghebbenden kijken vanuit uiteenlopende perspectieven naar de te leveren prestaties. Zij zijn bij uitstek geïnteresseerd in de effecten ervan op hun belangen. Vandaar dat de stakeholdersanalyse een essentiële stap vormt. Als het goed is sluiten de ambities hierop aan: de meerwaarde die het managementteam wil creëren en beschermen voor specifieke belanghebbenden. Uitgedrukt in de missie, visie en strategie en doorvertaald naar concrete succesfactoren, doelstellingen en indicatoren.

Hoe?
Bij hun werkzaamheden moeten de verantwoordelijken afwegingen maken. Om dat goed te laten verlopen hebben zij kaders en andere spelregels nodig. Dit gaat over de ‘systeemwereld’, het ‘inrichten’. Het betreft de afgesproken werkstandaarden en -wijzen. De praktische uitwerking van deze spelregels zijn de interne afspraken, die zijn vastgelegd in de reglementen, voorschriften, richtlijnen, procedures, protocollen, werkinstructies, et cetera. Doorgaans zijn deze opgenomen in een ‘policy house’. Voor het opstellen van deze documenten is expertise nodig van vakmensen. Heldere werkafspraken stroomlijnen de besluitvorming, vergemakkelijken de werkoverdracht tussen collega’s en geven een duidelijk normenkader voor audits. De meest bepalende factor bij het ‘hoe’ is de organisatiecultuur. Kenmerkt de cultuur zich door voorbeeldgedrag van de leidinggevenden? Willen beslissers de mogelijke consequenties van hun keuzen onder ogen zien? Wordt het gewaardeerd dat collega’s veronderstellingen in (te) ambitieuze plannen ter discussie stellen?

Verbetering
Een voortdurend verbeterprogramma maakt het eenvoudiger om te focussen op wat er echt toe doet. Gevraagd naar de ‘beste verbeteringen’ noemen mensen in de praktijk situaties waarbij volgens hen de risicoblootstelling groter of de kansbenutting kleiner is dan gewenst. De benodigde verbeteringen gaan meestal over het beter ontwerpen, invoeren, toepassen of monitoren van de werkwijzen en werkstandaarden. Deze ‘verbouwingen’ gaan nadrukkelijk ook over de competenties van de betrokkenen. Niet alleen hun vakinhoudelijke kennis en vaardigheden, maar vooral ook hun persoonlijke leiderschapskwaliteiten. Een voortdurend verbeterprogramma stelt de organisatieleiding in staat om mogelijke verbeterinitiatieven te identificeren, prioriteren en realiseren. Hoe beter de interne informatievoorziening op orde is én hoe meer collega’s zich vrij voelen om zaken te melden, hoe eerder aandacht vragende trends gesignaleerd kunnen worden.

Conclusie
Conventioneel risicomanagement kan gemakkelijk verworden tot een separaat illusoir systeem met een hoog compliancegehalte. Waardemanagement daarentegen is een verbindende benadering waarbij je als team één gezamenlijk platform creëert voor alle relevante typen management. Het stelt je in staat om steeds te prioriteren welke aanpassingen van je interne organisatie nodig zijn om je kernstakeholders blijvend tevreden te houden.

*Drs. Marinus de Pooter RA CMA CFM CIA CRMA CCS GRCP GRCA is eigenaar van MdP| Management, Consulting & Training. Hij ondersteunt ondernemers, bestuurders en managers bij het toekomstbestendig houden van hun organisaties.

**Dit artikel is gepubliceerd in Audit Magazine van juni 2019.

Foto: Jack Kruf.