Is het einde van risicomanagement nabij?

Tijd voor een collectieve herbezinning!
Door Marinus de Pooter, MdP | Management, Consulting & Training*.

Voor wie zijn oor te luisteren legt in uiteenlopende sectoren doemt spoedig het beeld op dat risicomanagement in de praktijk maar beperkt aanslaat. En dat ondanks alle gedane investeringen en de energie die er in de afgelopen jaren in is gestoken. Als risicomanagement inderdaad zoveel goeds brengt (zoals gewoonlijk wordt beweerd), hoe kan het dan dat lijnmanagers niet massaal afkomen op trainingen en congressen? Waarom staan zij niet in de rij om meer te leren over al die prachtige concepten en instrumenten (inclusief de vele indrukwekkende software applicaties)? Is het als managementsysteem zo slecht verkocht of kan het gewoon niet waar maken wat er wordt beloofd? Wellicht is het een combinatie van beide. 

Het is tijd voor iets beters. Wat mij betreft is het einde van conventioneel risicomanagement nabij. Ik doel op de instrumentele benadering vanuit een aparte staffunctie. Het beperkte enthousiasme voor deze gebruikelijk opzet komt volgens mij door meerdere factoren. Ik noem een aantal observaties vanuit de adviespraktijk.

Gewoonlijk wordt risicomanagement belegd in een aparte functie of in verschillende gespecialiseerde functies zoals Beveiliging, Kwaliteit en veiligheid, et cetera. Dit leidt gemakkelijk tot reacties van lijnmanagers in de trant van: “We hebben jullie toch aangenomen om voor die (informatiebeveiligings-)risico’s te zorgen!” Toezichthouders hebben het creëren van een aparte afdeling Risicomanagement (of zelfs een aparte CRO functie) bedacht als tegenwicht voor doorgeslagen ambities van lijnmanagers. Echter, alleen al vanwege de verschillen in persoonlijkheden kan de effectiviteit slechts gering zijn. Als je iets aan risicomanagement doet, omdat dat nu eenmaal moet van je toezichthouder of omdat het hoofdkantoor het van je verlangt, dan wordt het niet snel ingebed in je dagelijkse bedrijfsvoering. Als je het inzet als verantwoordingsinstrument, dan helpt het hooguit om toezichthouders een gevoel van (schijn-)zekerheid te geven. 

Als ruggegraat van hun riscomanagementsystemen hebben veel organisaties omvangrijke beheersraamwerken gebouwd, bijvoorbeeld voor hun financiële verslaggeving, informatiebeveiliging, bedrijfscontinuïteit, et cetera. Deze al dan niet op elkaar afgestemde raamwerken passen prima in een planning & control denkwereld. De weerbarstige werkelijkheid blijkt zich echter maar matig aan deze raamwerken te willen aanpassen. Niet in de laatste plaats vanwege belangrijke verstorende factoren zoals mensen van vlees en bloed. De “control frameworks” passen binnen het gedachtegoed dat de wereld maakbaar is. Als je doelen helder zijn, je je risico’s goed inschat, je passende maatregelen ontwerpt, invoert en uitvoert, dan heb je redelijke zekerheid dat de werkelijkheid zich zal ontvouwen zoals jij het bij de ‘P’ van je PDCA-cyclus (Plan-Do-Check-Act) hebt bedacht. Dat ligt in de praktijk aanzienlijk genuanceerder.

De toekomst is mateloos complex, waardoor eenvoudige voorspellingen illusies zijn. Sommige operationele oorzaak-gevolg relaties in een geconditioneerde omgeving zijn wellicht evident, maar andere (vooral de strategische) zijn nauwelijks te bepalen. In veel benaderingen wordt gemakshalve voorbij gegaan aan de beperkingen van onze menselijke vermogens, bijvoorbeeld om waarschijnlijkheden in te schatten. Als je de wereld voorstelt als een oneindige keten van oorzaken en gevolgen, dan is het onmogelijk om de toekomstige varianten (scenario’s) volledig in beeld te krijgen. Deze betrekkelijkheid blijft echter vaak onbelicht, zoals bij het bepalen van weerstandsvermogens. 

Lastig is ook dat kansen en risico’s niet tastbaar of aanwijsbaar zijn. Het zijn conceptuele voorstellingen van toekomstige gebeurtenissen of omstandigheden, die voor iedereen verschillend kunnen zijn. Bij de meer instrumentele benadering van risicomanagement wordt dit besef onderdrukt. Gebruikelijke instrumenten zoals risicoregisters en risicoprofielen kunnen zeer misleidend zijn. Zo geven ze nauwelijks inzicht in onderlinge afhankelijkheden van de risicocategorieën en in de mate waarin de organisatiedoelstellingen naar verwachtingen gerealiseerd zullen worden. Bovendien is de (donkerrode) bovenhoek in risicodiagrammen (de bekende ‘heatmaps’) onrealistisch: geen enkele organisatie gaat dagelijks (hoge waarschijnlijkheid) failliet (hoge impact).

Het gestructureerd nadenken over de toekomst wordt bij conventioneel risicomanagement negatief ingestoken. Als je je alleen maar richt op zaken die mis kunnen gaan, dan ben je niet holistisch met de toekomst bezig. Als je aparte risicorapportages met “key risk indicators” hanteert, dan geef je het signaal dat het beheersen van bedreigingen (risicomanagement) los staat van het benutten van kansen (prestatiemanagement). Je mist de aansluiting met de meeste bestuurders en managers, als je risico’s geïsoleerd bekijkt van kansen. Ze gaan in de echte wereld altijd hand in hand: als je personeelsfraude helemaal wil uitsluiten, dan moet je als manager alles zelf doen (en uiteraard zelf als medewerker integer zijn). 

Als het fout gaat, dan springen de media gretig in op sensationele incidenten. Vinden we het eigenlijk allemaal niet spectaculair, als er een paar grote hijskranen op huizen in Alphen aan den Rijn vallen? Het vooraf gestructureerd nadenken over mogelijke fouten blijkt echter veel minder populair, omdat het al snel wordt geassocieerd met falen. Zo wordt in een door ingenieurs gedomineerde omgeving het vertrouwen in het eigen (technisch) kunnen gekoesterd. Ook als het managementteam vooral actiegericht is, kan het gestructureerd verbeteren van de interne organisatie ondergeschikt raken aan het “echte werk”. Er wordt onvoldoende tijd genomen voor reflectie. De hectiek van alledag, zoals het blussen van allerlei brandjes, bepaalt dan de agenda. 

Vooral bij grotere organisaties ontstaat er al snel functionele verkokering. Daardoor is het lastig voor de organisatieleiding om het totaaloverzicht over de bedrijfsvoering te krijgen en te houden. Vaak is de regiefunctie minder ontwikkeld. En dat terwijl integraal kans- en risicomanagement één groot coördinatievraagstuk is om de afzonderlijke disciplines en kennisgebieden te richten op het gezamenlijk behalen van de geformuleerde organisatiedoelstellingen.

Bovenstaande observaties stemmen niet tot grote blijdschap. Het is tijd daarom voor een herbezinning. Onze denkkracht en middelen kunnen beter worden besteed. Daarbij moet mijns inziens het beantwoorden van de hoofdvraag voor elk managementteam centraal staan: sturen we onze organisatie zó dat we voldoen aan de verwachtingen van onze belangrijkste stakeholders? Hierna geef ik puntsgewijs een aantal suggesties om dit in de praktijk te realiseren. In essentie komen die neer op het opheffen van aparte risicomanagementfuncties. De focus moet komen te liggen op het trainen van beslissers om evenwichtige afwegingen te maken op basis van de afgesproken kernwaarden en de beste beschikbare informatie. Dat vergt intensieve samenwerking en een zware regierol voor de organisatieleiding.

  1. Bij een holistische benadering bekijk je kansen en risico’s steeds in samenhang. Een projectmanager is alert op toekomstige omstandigheden die de realisatie van zijn of haar doelstellingen kunnen bevorderen (kansen) dan wel kunnen belemmeren (risico’s). Het gaat over de integrale prestatie die je als organisatie neerzet. In dat kader kunnen we ‘risicomanagement’ als overkoepelende term beter niet meer gebruiken. De meeste mensen associëren die aanduiding immers met zaken die je beter niet kunt hebben. Gebruik daarom maar gewoon termen als ‘(integraal) management’ of ‘organiseren’. 
  2. Veel succesvolle grote mkb-bedrijven hebben geen aparte risicomanagement-functie. Natuurlijk managen die managementteams wel degelijk hun risico’s, zij het wellicht minder expliciet uitgewerkt als bij conventioneel risicomanagement. Breng de verzuilde risicomanagement activiteiten onder bij andere afdelingen, zoals bij Strategie & beleid, Planning & control, Informatievoorziening, et cetera. En bij P&O voor het trainen van vaardigheden. Zorg dat er hoog in de organisatie een coördinatiefunctie is voor de essentiële regierol.
  3. Wat integraal kans- en risicomanagement vooral uitdagend maakt, is dat het over de toekomst gaat. En die is nu eenmaal onzeker. Zo weet niemand of Bitcoin de valuta van de toekomst wordt of de volgende zeepbel. Realiseer je dat je er als team of individu hooguit een zo goed mogelijke slag naar kunt slaan, gebruik makend van de beschikbare informatie.
  4. Kans- en risicomanagement is eigenlijk ‘verwachtingsmanagement’. Voorkom overspannen verwachtingen. Als mensen zijn we nu eenmaal aan vele beperkingen onderhevig. Denk aan de kwaliteit (tijdigheid, juistheid, volledigheid, et cetera) van onze beschikbare informatie en de beperkingen van onze menselijke geest om effectieve inschattingen te maken. Wees zeker ook alert op de verleidingen waardoor mensen verkeerde keuzen kunnen maken.
  5. In een met planning en control doordrenkte omgeving wordt krachtdadig leiderschap toegejuicht. “Yes, we can!” wordt geassocieerd met het wel even door de woelige baren heen loodsen van het schip van de organisatie. Geef echter eerlijk toe dat je zelf ook niet precies weet hoe het allemaal zal uitpakken. Zo vreemd is dat niet, als de toekomst per definitie ongewis is.
  6. Bij management gaat het over het nemen van beslissingen om de beoogde waarde te creëren en te behouden voor je belangrijke stakeholders. De echte meerwaarde van het geïntegreerd managen van kansen en risico’s zit in de bijdrage aan die besluitvorming. Voor goede besluitvorming heb je goede informatie nodig. Zet daarom vol in op kennisbeheer en big data, die een steeds grotere rol zullen gaan spelen.
  7. Kans- en risicomanagement richt zich op het realiseren van de expliciete en impliciete doelstellingen. Bepalend voor die doelstellingen zijn de belangen van specifieke stakeholders. Bij het maken van afwegingen spelen er altijd belangen. Doorzie dat spel. Als je niet snapt welke belangen er op de achtergrond spelen, kun je nooit effectieve analyses uitvoeren van kansen en bedreigingen.
  8. Als je het hebt over het creëren en beschermen van waarde is de eerste vraag natuurlijk wat je onder ‘waarde’ verstaat. Maar al te vaak blijkt het over euro’s of dollars te gaan. Maar is geld doel of middel? Het antwoord hangt af van wat je belangrijkste stakeholders verwachten van jouw organisatie. Voer als managementteam eerst de discussie over waar je echt ‘waarde’ aan hecht. Pas dan is het zinvol om te praten over kansen en risico’s.
  9. Bij het organiseren van je (ambtelijke) bedrijf om waarde te leveren en te behouden voor je belangrijke stakeholders is je visie richtinggevend. Het moet voor elke medewerker in de organisatie helder zijn wat je met z’n allen wilt bereiken. Dat houdt ook in: duidelijk zijn over wat je niet wilt bereiken. Dan komt de discussie vanzelf op wat ook alweer de bedoeling van de organisatie was. Investeer in het ontwikkelen en uitdragen van die duidelijke visie.
  10. Samen nadenken over kansen en risico’s kan het beste gebeuren met de dagelijkse activiteiten als basis. Daar moeten je collega’s hun afwegingen maken. Of het nu om aansturende, primaire of ondersteunende processen gaat. Bij het uitvoeren van elk van de werkzaamheden kunnen zij fouten maken. Daar moeten zij ook de kansen grijpen. Zorg voor een integraal overzicht van waar de belangrijke spelers binnen je organisatie mee bezig zijn. Zonder dat overzicht is het lastig om de onderlinge samenhangen te zien en om de gewenste verbeteringen te prioriteren.
  11. Integraal kans- en risicomanagement gaat steeds over opties voor menselijk handelen. Dan ontkom je er niet aan om het over ethiek te hebben. Als je redeneert vanuit een “het-doel-heiligt-de-middelen” principe, dan kun je wellicht wegkomen met gebrekkige wetgeving of handhaving ervan. Bedenk echter dat er meer is dat je beter niet kunt doen buiten wat er expliciet verboden is.
  12. Om goede afwegingen te kunnen maken heb je naast deugdelijke informatie vooral ook heldere kernwaarden nodig. Bijvoorbeeld om te oordelen over een belegging die wel prettig rendeert, maar die ethisch gezien kwestieus is. Kernwaarden bepalen welke stakeholders (en hun belangen) dominant zijn, wat het zwaarste weegt bij netelige kwesties en welk gedrag er wordt verwacht van de medewerkers. Ze spelen ook een sleutelrol bij het operationaliseren van het lastige begrip ‘risicobereidheid’ (en de tegenhanger ‘kansgretigheid’). Zorg dat je kernwaarden helder zijn voor alle betrokkenen.
  13. De houding van de mensen die je aan boord hebt is doorslaggevend voor een succesvolle interne organisatie. De CEO van een grote internationale vastgoedbelegger zei onlangs tegen me dat zijn belangrijkste risicomanager de directeur Personeelszaken is. Analyseer de risico-attitude van je managers. Selecteer streng aan de poort op het morele kompas en de mentaliteit van mogelijke nieuwe collega’s. Zet ook zo spoedig mogelijk mensen weer buiten de poort, die niet passen bij de beoogde kernwaarden van je organisatie.
  14. De eigenaren van de doelstellingen (en daarmee van de processen die nodig zijn om die doelen te bereiken) moeten daarbij voortdurend afwegingen maken. Namelijk welke waarde zij willen creëren en beschermen voor welke stakeholders. Zorg dat zij beschikken over de nodige specialistische hulp bij het realiseren van hun doelstellingen, bijvoorbeeld omdat de wet- en regelgeving (denk aan CAO’s) complex is, omdat technologieën snel wijzigen, et cetera.
  15. De toegevoegde waarde van risk managers, controllers, compliance officers en soortgelijke functies ligt in het ondersteunen van degenen die de klanten (burgers, huurders, patiënten, studenten et cetera) bedienen. Verlang van alle staffuncties dat ze zich dienstbaar opstellen voor hun collega’s die in de primaire processen de klanten bedienen. Zij moeten steeds lastige afwegingen maken bij het aanwenden van de beschikbare middelen en kunnen daarbij waardevolle inbreng gebruiken van specialisten in ondersteunende afdelingen.
  16. Ook het benutten van kansen is een afwegingsproces. Innovatie impliceert onzekerheid. Nieuwe materialen of werkwijzen kunnen grote voordelen hebben, maar de effecten op langere termijn worden pas achteraf bekend. Het betekent dus durven loslaten en eerlijk zijn over mogelijke nadelen. Ook kansen moeten worden geprioriteerd. Houd als team de focus op je strategie en voorkom dat je collega’s op elke voorbijrijdende trein springen.
  17. Elk vraagstuk met betrekking tot interne organisatie gaat over de kwestie hoeveel vrijheid je laat aan degene die de afwegingen moet maken. Vertrouw je op de competenties van de professional of is het beter om te protocolleren? Geef je vrijheid of ga je standaardiseren? Stel je strakke planningen op of reken je op het improvisatievermogen? Maak als managementteam bewuste keuzen met betrekking tot de kaders.
  18. De onderliggende vraag bij het integraal managen van kansen en risico’s is: ben je als organisatie weer- en wendbaar genoeg om effectief om te gaan met wat er in de toekomst op je afkomt? Houd er rekening mee dat de systeemwereld van planning en control grote beperkingen kent. Zet meer in op het verbeteren van de behendigheid van je organisatie om in te spelen op verander(en)de omstandigheden.
  19. De toekomst is inherent onzeker. Het is aanbevelenswaardig om meer energie te steken in het maken van prognoses (door de voorruit van je auto kijken) dan in het vergelijken met budgetten (door de achterruit kijken). Heb het bij je afwegingen daarom niet primair over de vraag of er budget voor is. Relevanter is de vraag welke actie wijs is in het licht van de gegeven (gewijzigde) omstandigheden.
  20. Beslissen is altijd optimaliseren onder randvoorwaarden. Als je ergens verantwoordelijk voor bent, maar je keuzemogelijkheden worden te zeer ingeperkt, dan is het zaak om dat aan de orde te stellen. Denk aan de situatie dat je niet zelf je personeel kunt kiezen. “Competentie is hier geen criterium” verzuchtte onlangs de controller van een Omgevingsdienst bij een herschikking van de organisatie. Daar was kennelijk een afweging gemaakt tussen de belangen van enerzijds de werknemers en de vakbonden en anderzijds de dienst en haar ‘klanten’. Realiseer je als team dat de kwaliteit van de mensen die je in huis hebt bepalend is voor de uiteindelijke effectiviteit van je organisatie.
  21. Te hoge ambitieniveaus in een politieke omgeving vragen om deugdelijke waarborgen. Zoals bij die visionaire burgemeester die een evidente regiofunctie voor zijn dorp zag. Ondersteund door onderzoeksrapporten van een duur adviesbureau zette hij voortvarend in op uitbreiding van de retail capaciteit. Het komt niet alleen door de toegenomen internetverkopen dat een aanzienlijk deel van het winkelbestand nu leeg staat. Wees alert op de beteugeling van dominante persoonlijkheden. Anders kan er geen sprake zijn van afgewogen beslissingen.
  22. Contracten zijn geëigende instrumenten om afspraken te maken over wederzijdse rechten en verplichtingen. Bij ‘DBFMO’ contracten zijn ontwerp, bouw, financiering, onderhoud en beheer geïntegreerd. Ze kunnen gaan over grote belangen gedurende langere perioden. Beleg risico’s zoveel mogelijk bij de contractpartijen die ze het meeste kunnen beïnvloeden, zoals bijvoorbeeld onzekerheden met betrekking tot vergunningen.
  23. Het integraal omgaan met kansen en risico’s gaat vooral over het steeds met elkaar hebben over de afwegingen die je maakt. Het komt in de praktijk neer op het kritisch kijken naar de veronderstellingen bij ingediende (investerings-) plannen. Voer ‘pre-mortem’ reviews uit. Stel het aan de orde, als de onderbouwingen in een business case boterzacht en flinterdun zijn.
  24. Als ook in jouw organisatie het aanroeren van het onderwerp ‘verantwoording’ al als bedreigend wordt ervaren, dan is er nog het nodige te doen. Maak degenen die verantwoordelijk zijn voor het behalen van de organisatiedoelstellingen ook verantwoordelijk voor het benutten van de kansen en het beheersen van de risico’s. Zorg voor helderheid over hun eigenaarschap.
  25. Als je het mij vraagt, blijft het moeilijkste aspect van het omgaan met kansen en risico’s dat het aankomt op moed. Als iedereen ‘hosanna’ en ‘halleluja’ roept over een mogelijke samenwerking of fusie, durf jij dan bijvoorbeeld als controller het aanstaande feestje te bederven, als volgens jou de risico’s te groot zijn? Met die actie plaats je jezelf dan wel (deels) buiten de groep. En dat blijft voor iedereen lastig om te doen. Bedenk dat goede leiders tegengeluiden juist waarderen. Een angstcultuur is niet in het belang van een organisatie.
  26. Fouten mogen maken is een onmisbare voorwaarde om een “High Reliability Organization” te worden. Het ontwikkelen van het lerend vermogen vergt echter nogal wat van de houding van de leidinggevenden en de stakeholders. Iedereen wil immers heel graag dat zijn of haar behandelende artsen foutloos werken. Train je mensen om hun afwegingen zo professioneel mogelijk te maken. En zorg vooral voor voorbeeldgedrag als leidinggevende.

Bibliografie

  • In deze bijdrage ben ik tot verreikende conclusies gekomen ten aanzien van conventioneel risicomanagement. Ook heb ik verrijkende aanpassingsmogelijkheden aangestipt met betrekking tot  integraal (kans- en risico-) management. Graag nodig ik je uit om verder mee te denken over de verdere toepassing ervan in de dagelijkse praktijk. Stuur je suggesties naar marinus@mdpmct.com. Alvast hartelijk dank daarvoor.
  • De oorspronkelijk publicatie is eerder gepubliceerd door PRIMO in 2014.