Risicosturing voorbij compliance

stierRisicomanagement is meer dan compliance, of zou dat moeten zijn. Het is ook meer dan het routinematig invullen van risicodossiers, of zou dat moeten zijn. Volgens het eerste principe van de ISO 31000-richtlijn voor risicomanagement voegt het waarde toe, maar is dat wel zo? Waarom heeft dan slechts elf procent van de Nederlandse organisaties een volledig organisatie-breed enterprise risk management systeem in gebruik? Dat kan niet zo zijn, omdat de gemiddelde organisatie nauwelijks met financiële risico’s in aanraking komt. Of is het misschien omdat er geen relatie kan worden aangetoond tussen de toepassing van de COSO-ERM standaard en de effectiviteit van organisatiebreed risicomanagement? Het lijkt hoogste tijd voor een andere manier van omgaan met risico’s.

De elf procent, het percentage van de Nederlandse organisaties dat een volledig organisatiebreed enterprise risk management (ERM-)systeem in gebruik heeft, is afkomstig uit een onderzoek uit 2012. Het is uitgevoerd door twee hoogleraren in management accounting en control, Leendert Paape en Roland Speklé, onder 825 organisaties. Dit waren zowel bedrijven als publieke organisaties, met een omzet van minimaal tien miljoen euro. Nu is 2012 al weer even geleden en zou de situatie op het gebied van de brede toepassing van ERM natuurlijk best verbeterd kunnen zijn. Dit optimisme wordt echter onderuit gehaald door het tweede Nationale Onderzoek Risicomanagement, dat in 2014 is uitgevoerd door onder andere de Rijksuniversiteit Groningen en Nyenrode Business Universiteit. Hieraan hebben ruim 700 Nederlandse organisaties deelgenomen. Op een risicomanagement volwassenheidsschaal van 1 tot en met 10 scoort zowel de profit als non-profit sector met gemiddeld 4,5 stevig onvoldoende. Saillant detail, in de tegelijkertijd uitgevoerde zelfevaluatie beoordelen de bestuurders en managers hun risicomanagement met gemiddeld 6,6 als ruim voldoende. Al deze scores zijn nauwelijks hoger dan in die in het vorige onderzoek, uit 2009. Om deze inleiding prikkelend af te sluiten een citaat van Michael Power, professor aan de London School of Economics: ‘The security provided by ERM is at best limited to certain states of the world and at worst it is illusory – the risk management of nothing.’

De risicoparadox
Zowel de resultaten van de genoemde onderzoeken, als de praktijk op het gebied van ontwikkeling en implementatie van risicomanagement voedt de zogenoemde risicoparadox: ‘Risicomanagement lijkt hoogst noodzakelijk om de vaak uitdagende doelstellingen van organisaties te realiseren en wordt desondanks lang niet overal breed, diepgaand en met bewezen effectiviteit toegepast.’
Want is het niet opmerkelijk? Organisaties en projecten, publiek en privaat, in vrijwel alle sectoren hebben te kampen met toenemende complexiteit, tegengestelde belangen, een publieke roep om (meer) verantwoording en aanhoudend guur economisch weer, dat slechts langzaam opklaart. Als reactie hierop is vrijwel elke organisatie aan het veranderen. Risicomanagement, in de zin van effectief en kostenefficiënt omgaan met de bijbehorende onzekerheden, lijkt daarom meer dan ooit noodzakelijk. Echter, het huidige risicomanagement, met de sterke nadruk op (schijn)maakbaarheid en bureaucratische controle wordt dus zelden door iedereen in de organisatie enthousiast omarmd.

Een voorbeeld uit de praktijk. Een honderd procent dochteronderneming van een organisatie in de financiële sector heeft een eigen raad van bestuur en raad van commissarissen. Deze dochteronderneming is helemaal zelf verantwoordelijk voor de bedrijfsresultaten. Echter, de dochteronderneming krijgt het volledige risicomanagement framework van de moederorganisatie opgelegd. Hierbij wordt voorbijgegaan aan de wezenlijke vraag of het framework wel passend is voor het type activiteiten en de organisatie-omvang van de dochteronderneming. De risicomanagement aanpak van de moederorganisatie is immers ingegeven door de aard van de bedrijfsactiviteiten en schaalgrootte van de moederorganisatie, met de daarbij behorende wet- en regelgeving. Het één op één overnemen van die zinvolle benadering voor de moederorganisatie zorgt voor een toename van de bureaucratie en de bijbehorende kosten in de dochteronderneming. De acceptatie van dat framework door managers en medewerkers van de dochteronderneming is dan ook ver te zoeken, omdat geen toegevoegde waarde wordt ervaren. Denk hierbij aan het eerder genoemde eerste risicomanagementprincipe: risicomanagement voegt waarde toe. Kortom, waartoe leidt het doordrukken van het risicobeleid van de moederorganisatie in de dochteronderneming? Dit kunt u zelf wel invullen.

Dit voorbeeld illustreert het gangbare, vanuit controle opgelegde en vaak vooral instrumentele risicomanagement. Deze benadering is feitelijk een kloon van Taylor’s scientific management, dat inmiddels al honderd jaar meegaat. Dergelijk risicomanagement legt de nadruk op verantwoording, beheersing en (steeds meer) controle. Het voedt de illusie van volledige maakbaarheid. Als er desondanks risico’s optreden, dan zorgt de zogenoemde risicoregelreflex vaak voor nog meer protocollen en procedures. Meer van hetzelfde biedt echter geen oplossing voor de grote uitdagingen waarmee vele managers en professionals dagelijks worden geconfronteerd, zoals meer doen met minder mensen, met een hogere kwaliteit en minder risico.

Lees meer>