Stop met risicomanagement, begin met waardemanagement

Foto door Michelle Kruf ©

Over energie, rollen en het speelveld

Peter Paul Leutscher en Marinus de Pooter*

Veel profit en non-profit organisaties hebben in de afgelopen jaren geïnvesteerd in risicomanagementsystemen. Het is onze observatie dat veel van die inspanningen niet hebben geleid tot bevredigende resultaten voor bestuurders en managers. In dit artikel bespreken wij diverse redenen hiervoor. Ook zetten wij uiteen waarom waardemanagement een beter alternatief is. Onder ‘waardemanagement’ verstaan wij alle managementactiviteiten gericht op het creëren en behouden van waarde voor de stakeholders. Nadat we zijn ingegaan op oorzaken waarom traditioneel risicomanagement niet werkt, geven we aan wat de kenmerken en voordelen van waardemanagement zijn. We sluiten af met een beknopte schets van de invoering ervan in de praktijk.

Waarom traditioneel risicomanagement tekort schiet

Wij denken dat traditioneel risicomanagement is ontspoord. We zien dat het in de praktijk vooral wordt ingestoken als een beheersinstrument voor het management. Vanuit de gedachte dat het een kwestie is van duidelijke doelstellingen formuleren en van voldoende interne beheersing inzetten. Dat de toekomst zich vervolgens zal ontvouwen zoals bedacht is volgens ons echter een illusie. De organisatieleiding staat voor de uitdaging om haar visie te realiseren in een onzekere toekomst. Dat gebeurt altijd met beperkte informatie. Er zijn immers altijd actoren en factoren waar zij slechts beperkt grip op hebben. De toekomst is inherent onzeker en de menselijke vermogens zijn beperkt. Dat noopt tot bescheidenheid. Dat idee past echter niet zo lekker in de denkwereld van beheersbaarheid. 

Veel lijnmanagers lijken het gevoel te hebben dat ze eindelijk verder kunnen met hun gewone werk, als ze klaar zijn met hun opgelegde risicomanagement bezigheden. Die laatste hebben dan vaak een “’t is rot, maar ’t mot” karakter. Terwijl het afwegen van kansen en risico’s juist inherent is aan beslissingen nemen. Het valt ons verder op dat er weinig wordt gedacht aan risicomanagement, als het gaat over zaken die er echt toe doen. Dat leidt ertoe dat risicomanagers er niet bijgehaald worden, daar waar ze echt waarde kunnen toevoegen. Denk bijvoorbeeld aan geplande fusies, samenwerkingsverbanden, nieuwe productintroducties en betreding van nieuwe markten.

We zien dat er veel energie wordt gestoken in het inventariseren van mogelijke risico’s. Risicoregisters, ‘controlmatrices’ en risicodiagrammen voeren de boventoon. Die hebben echter het inherente gevaar dat ze vervolgens een leven op zich gaan leiden. Het draait dan om het inventariseren van zoveel mogelijk risico’s. Dan zijn de risicomanagementactiviteiten niet meer primair gericht op het actief managen van de onzekerheden die verbonden zijn met het behalen van de organisatiedoelstellingen. Bij veel analyses blijven de stakeholders zelfs helemaal buiten beeld. Hoe vaak hoort u de vraag stellen: ‘in hoeverre worden onze klanten (lees ook: burgers, patiënten, studenten) nu echt beter van deze maatregelen?’.

De veel gehanteerde term ‘risicomanager’ vinden wij misleidend. Deze staffunctionaris is niet degene die de risico’s beheert. Dat is de lijnmanager, die de klanten bedient en telkens belangrijke afwegingen moet maken in de reguliere bedrijfsvoering. ‘Decision facilitator’ vinden wij een betere aanduiding dan ‘risk manager’. Niet alle stakeholders hebben gelijksporende belangen. Doelstellingen kunnen conflicteren: snelheid en zorgvuldigheid gaan zelden samen; idem hoge kwaliteit en lage kosten. Verlengde openstelling van gemeentelijke diensten is aangenaam voor de burgers, maar betekent ook dat de medewerkers hun privé-omstandigheden anders moeten inrichten, dat de facilitaire kosten toenemen et cetera. 

Een ander belangrijk nadeel van de huidige praktijk is dat de risicomanagement-activiteiten vooral gericht zijn op het negatieve. Overigens een verschijnsel dat we ook tegenkomen bij management letters en internal audit rapporten. Gaat u zelf maar na hoe vaak die vooral opsommingen bevatten van zaken die niet deugen. 

We merken dat er niet effectief wordt omgegaan met de interne regelgeving: verschillende functionarissen uit verschillende disciplines houden zich ermee bezig zonder veel coördinatie. Als de risicobereidheid niet wordt uitgesproken, ontstaat bij interne regelgevers de neiging om aan “de veilige kant” te gaan zitten. Dan verlangt men al gauw veel meer dan echt nodig is. Als die vele regels ook nog eens niet goed worden afgestemd tussen interne regelgevers onderling, dan is de regelchaos navenant. Kent u organisaties die beschikken over een goed gecoördineerd centraal huisregelhuis (beleidscentrum), waar alle interne spelregels voor iedereen duidelijk te vinden zijn? 

Het is onze observatie dat de interne regelgeving regelmatig over de schutting van de vestigingen of afdelingen wordt gekieperd: “Aangehecht vindt u het nieuwe inkoopbeleid. Wij wensen u veel succes met de implementatie!” De reacties laten zich raden, zeker als er geen evenwichtig proces aan is voorafgegaan van ‘reality check’ door de mensen die de regels in de praktijk moeten toepassen. Die stap is wel nodig om na te gaan of de nieuwe werkstandaarden, spelregels, etc. uiteindelijk kunnen werken zoals bedoeld. Het overslaan van die stap werkt niet bepaald draagvlak verhogend. Zeker niet, als er ook nog eens onvoldoende aandacht wordt besteed aan de doorvertaling naar de werkvloer (bijvoorbeeld door middel van uitlegsessies, helpdesks et cetera). 

De meeste risicomanagementsystemen zijn gebaseerd op beheersmaatregelen, die worden bedacht (ontwerp), uitgevoerd (bestaan) en getoetst (werking). Het is belangrijk om te beseffen dat er hierbij steeds afwegingen worden gemaakt. Essentieel is dan wie je die keuzen laat maken. We zien dat dit gemakkelijk kan ontaarden in het zoveel mogelijk dichttimmeren van de bedrijfsprocessen. Risico’s zijn er immers om gemitigeerd te worden, zo luidt de redenering. Dat is echter een eenzijdige benadering. Er zijn meer manieren om met onzekerheid om te gaan dan alleen ‘mitigeren’ (‘treat’). Denk ook aan het maken van goede afspraken in contracten (‘transfer’), het weloverwogen aanvaarden van risicovolle omstandigheden (‘take’) of het beëindigen van activiteiten (‘terminate’). 

Van mensen werkzaam in internal audit functies horen we hoezeer het ontbreken van goed georganiseerde interne regelgeving het uitvoeren van audits bemoeilijkt. Internal auditors gebruiken – bij gebrek aan beter – doorgaans zelfverklaarde ‘best practices’ als norm waartegen zij toetsen. Als de interne kaders helder zijn, dan wordt het vergelijken van de werkelijkheid met deze norm een stuk eenvoudiger.

Het besef dat risicoanalyses slechts meningen zijn zouden wij in de praktijk graag meer aantreffen. Inschattingen van risico’s (hetzelfde geldt ook voor kansen) worden beïnvloed door onder meer (recente) ervaringen, inzichten, competenties en attitudes van de betrokkenen. De opgestelde risicoprofielen zijn bovendien misleidend. We hebben het over de diagrammen met de gebruikelijke kleuren rood-oranje-geel-groen, met op de x-as de waarschijnlijkheid en op de y-as het effect. Het ‘rode gedeelte’ betreft de zogenaamde fantoomrisico’s. Die zijn niet werkelijkheidsgetrouw! Er zijn geen organisaties die dagelijks (zeer hoge waarschijnlijkheid) in de situatie verkeren dat ze failliet gaan (zeer hoog effect). De managementaandacht zou veeleer uit moeten gaan naar risico’s die een groot effect hebben, maar waarbij de kans op optreden gering wordt geacht. Dat zijn de echt gevaarlijke!

In de gebruikelijke instrumentele benadering van risicomanagement is er weinig of geen aandacht voor cultuuraspecten. Gedrag is echter de meest bepalende factor. We hebben het dan over leiderschap, interne samenwerking, mogelijkheden om onplezierig nieuws veilig te melden, het elkaar aanspreken op het overtreden van principes, et cetera. Bij organisaties komen we regelmatig beloningssystemen tegen die ongewenst gedrag in de hand werken. In het bedrijfsleven zien we verkopers die commissies krijgen op basis van gefactureerde omzet, niet op basis van geïncasseerde facturen. De onderliggende gedachte daarbij is ongetwijfeld dat de financiële afdeling zich mag bekommeren om het debiteurenrisico. 

Inschattingen van de toekomst zijn altijd gebaseerd op veronderstellingen. Zonnekoningen houden niet zo van mensen die de gehanteerde veronderstellingen ter discussie stellen. Wij vinden daarentegen dat die kritische mensen juist waarde toevoegen voor hun organisatie. Mensen die tegen de stroom in willen gaan hebben echter thuis ook een hypotheek. Er is moed voor nodig om veronderstellingen in businessplannen ter discussie te stellen. Het is gemakkelijker om met de kudde mee te lopen dan jezelf buiten de groep te plaatsen door je kritische opmerkingen – hoe terecht die ook zijn.

De meerwaarde van waardemanagement

Het is onze waarneming dat veel managementteams er maar beperkt aan toe komen om gezamenlijk te kijken naar de kwaliteit van hun interne organisatie. Velen zijn druk bezig met de operationele hectiek en het blussen van dagelijkse brandjes. Een gestructureerde verbeteraanpak zou hen dan helpen om daar verandering in te brengen. En dat is waar het bij waardemanagement om gaat. 

Holistisch kijken naar zowel kansen als risico’s is ook een voorwaarde om de visie en strategie van de organisatie te kunnen realiseren. Dat moet uiteindelijk gebeuren in de primaire bedrijfsprocessen. Daar moet je als managementteam de waarde voor de stakeholders creëren en behouden. Bij de dagelijkse activiteiten moet je je kansen benutten en je risico’s beheersen. Daarbij gaat het altijd over het maken van afwegingen onder onzekerheid. Dat is bij uitstek het geval bij innovatieve trajecten of projecten. Strategische plannen, business cases, etc. worden volgens ons alleen maar sterker, als er zogenaamde “pre-mortem reviews” worden uitgevoerd.

Als organisatieleiding moet je voorkomen dat het inrichten van de interne organisatie een mechanische aangelegenheid wordt. Het is een kwestie van telkens afwegingen maken. Als je te maken hebt met voldoende capabele en integere mensen, dan heb je weinig maatregelen en kaders nodig. Moeilijke keuzen maken en dilemma’s verzoenen moet je kunnen doen op basis van gedeelde kernwaarden. Die zijn belangrijker dan protocollen, richtlijnen, procedures en werkinstructies. Vaak genoeg de waarom-vraag te stellen zorgt ervoor dat de kernwaarden helder worden. 

Het is onze ervaring dat een holistische benadering mensen zeer aanspreekt. Je onderneemt (bedrijfs)activiteiten in de verwachting om daarmee bepaalde doelen te bereiken. Je gaat op zoek naar kansen en omstandigheden die de realisatie ervan bevorderen (opportuniteiten). Onderweg kan er ook van alles gebeuren dat je belemmert om die doelen te bereiken (risico’s). Belangrijke mogelijke verstoringen wil je in beeld krijgen, de nodige maatregelen treffen en deze borgen in de dagelijkse bedrijfsvoering. 

Waar gehakt wordt vallen spaanders. Mensen – van hoog tot laag – maken fouten in de processen en projecten. Als je als managementteam gericht bent op voortdurend leren, dan vind je het ook niet zo verwonderlijk, dat er naast ‘opstaan’ ook steeds sprake zal zijn van ‘vallen’. 

Als managers en overige medewerkers ook echt fouten mogen maken, betekent dat een wereld van verschil voor de betrokkenen. Werkt u in een omgeving waarin mensen veilig kunnen zeggen wat ze denken? En waarin ze veronderstellingen ter discussie kunnen stellen zonder dat ze gelijk worden bestempeld als non-coöperatief? Dat zijn voorwaarden om een “High Reliability Organization” te kunnen worden. Dan ga je agressief op zoek naar mogelijke zwakheden in je bedrijfsvoering. Dan kun je die in een zo vroeg mogelijk stadium ontdekken en er wat aan doen. Maar toestaan dat er fouten worden gemaakt vereist vooral moed. Daarbij is niets overtuigender dan voorbeeldgedrag van leidinggevenden. 

Waardemanagement stelt de dagelijkse bedrijfsactiviteiten centraal. Daar moet je waarde creëren en behouden voor je stakeholders. Daar moet je afdoende maatregelen treffen. Waardemanagement richt zich op de voortdurende verbetering van de huidige werkstandaarden. Zonder goede doelen, kwaliteitseisen, kaders en standaarden kun je niet goed afwijkingen meten. En zonder afwijkingen ervaar je geen problemen. En zonder gevoelde problemen is er weinig animo om verbeteringen door te voeren. 

De kaders die de organisatieleiding aan managers en overige medewerkers meegeeft raken aan de balans tussen vertrouwen en controle. Zeer competente en integere managers hoef je maar weinig kaders mee te geven. Als mensen echter (nog) niet toegerust zijn voor hun taak, weinig intuïtie hebben ontwikkeld of verkeerde intenties hebben, dan zullen regels niet snel toereikend zijn. 

Waardemanagement gaat ervan uit dat de lijnmanagers aan het stuur zitten. Zij moeten de geformuleerde doelstellingen bereiken en dienen het laatste woord te hebben als het gaat over de interne organisatie. Uiteraard hebben ze bij het inrichten daarvan de ondersteuning nodig van mensen die verstand hebben van bijvoorbeeld regelgeving (zoals HR functionarissen en compliance officers), techniek (zoals ICT managers) en financiële verantwoording (zoals controllers). 

Ook hebben ze mensen nodig die besluitvorming kunnen faciliteren (zoals risicomanagers) of die onafhankelijk kunnen onderzoeken in welke mate de afgesproken kaders in de praktijk worden gerespecteerd (zoals internal auditors). Maar uiteindelijk moeten de lijnmanagers zelf de afwegingen maken in hun dagelijkse worsteling om te voldoen aan de verwachtingen van hun veeleisende klanten. 

Het is gebruikelijk dat de organisatieleiding door middel van velerlei rapportages uit de verschillende silo’s binnen de organisatie wordt geïnformeerd over de stand van zaken. Goede toepassing van waardemanagement maakt het eenvoudiger om een geïntegreerde rapportage te krijgen van alle aspecten van de bedrijfsvoering. Zo kan er een gedeelde visie ontstaan over de mate waarin de doelstellingen zijn behaald en naar waarschijnlijkheid zullen worden gehaald in de toekomst. De blik verschuift dan naar voren. Goede prognoses zijn er het bewijs van dat de managers in kwestie hun kansen kennen, evenals hun risico’s en de kwaliteit van de interne beheersing in hun verantwoordelijkheidsgebied. 

Waardemanagement gaat over strategie, structuur én cultuur. Het gaat er niet alleen om wat je met elkaar afspreekt (de ‘spelregels’), maar vooral ook in welke mate je elkaar aanspreekt op de naleving ervan. Het gaat dus om het in kaart brengen van niet alleen wat er zich “boven de tafel” afspeelt, maar evenzeer over wat er “onder de tafel” gebeurt. 

Waardemanagement in de praktijk

In de weerbarstige praktijk helpen wij onze opdrachtgevers met het stroomlijnen van hun interne organisatie, gericht op het creëren en behouden van waarde voor hun belangrijke stakeholders. De benadering verschilt niet wezenlijk voor bijvoorbeeld MKB-bedrijven, semi-overheid, NGO’s, overheden of beursgenoteerde bedrijven. Steeds vormen de dagelijkse bedrijfsactiviteiten het vertrekpunt. 

De aanpak bestaat uit drie stadia:

  • Visualiseren.
  • Prioriteren.
  • Optimaliseren.

Ad 1. Visualiseren

We stellen een organisatieplattegrond op waarop alle relevante activiteiten in beeld worden gebracht. Dat doen we op een zodanig verdicht niveau dat een integrale analyse mogelijk is. Dat kan voor het hele concern of bijvoorbeeld voor een bepaald(e) divisie, dienst, werkmaatschappij, land, vestiging, afdeling of project. Zo ontstaat er een visuele voorstelling van alle relevante activiteitenclusters binnen de organisatie. Die zijn historisch zo gegroeid en geven dus ook de eigenheid van de organisatie weer. Doorgaans onderscheiden we daarbij activiteiten met betrekking tot de aansturing, het primaire proces en de ondersteuning. Het gaat in totaal om zo’n 15 hoofdclusters; voorbeelden zijn: ‘Dienstverlening, ‘Inkoop’, ‘Personeel’, ‘IT’ en ‘Financiering’.

Elk van de hoofdclusters bestaat uit tussen de 5 en 15 activiteitenclusters. Bij het hoofdcluster ‘Personeel’ gaat het dan onder meer over clusters als: “arbeidsmarkt verkennen”, “werven, selecteren en screenen”, “arbeidsvoorwaardenhuis beheren”, “pensioenen beheren”, “onderhandelen en arbeidscontracten beheren”, “relaties vakbonden onderhouden”, “trainen, opleiden en ontwikkelen” en “aanwezigheid registreren”. 

Afhankelijk van de ‘scope’ van de analyse gaat het doorgaans in totaal om tussen de 150 en 200 activiteitenclusters. Dat aantal blijkt in de praktijk goed te overzien, als ze integraal op een tafel of aan de wand worden uitgebeeld. Om een zo groot mogelijke herkenbaarheid voor de betrokkenen te realiseren zorgen we ervoor dat we aansluiten bij de benamingen die in de organisatie gebruikt worden.  

De plattegrond geeft voor het managementteam het gemeenschappelijke speelveld weer. Wij merken dat het overzicht zelfs verhelderend werkt voor collega’s die al jarenlang samenwerken, maar slechts beperkt weet hebben van waar hun collega’s zich specifiek mee bezighouden. Nadat de activiteiten in beeld zijn gebracht richten we ons op het verduidelijken van de verantwoordelijkheden. Wie kun je erop aanspreken, als de activiteiten in kwestie niet goed gaan? Ook inventariseren we per activiteitencluster de belangrijkste applicaties voor transactieverwerking, die de basis vormen voor de informatievoorziening (besluitvorming en verantwoording). 

Een voor de hand liggende vraag is hoe de huidige activiteiten zich verhouden tot de geformuleerde doelstellingen en de verwachtingen van de stakeholders. Veel bedrijfsactiviteiten zijn historisch gegroeid. Hoe dragen zij bij aan het realiseren van de huidige doelstellingen? We zien ook dat er (ambitieuze) doelstellingen bij zijn gekomen waar helemaal nog geen passende activiteiten voor zijn ingericht.

Waardemanagement gaat uit van het werken op basis van bepaalde werkstandaarden, kaders, procedures et cetera. Uiteraard voor zover als deze nodig geacht worden om de organisatie goed te kunnen laten functioneren. Het gezamenlijk werken aan voortdurende verbetering betekent voor een managementteam focus op het:

  • Wat (welke activiteiten willen we doen?).
  • Hoe (op welke manier willen we die activiteiten doen?).
  • Waarom (voor wie willen we die activiteiten eigenlijk doen?).

Ad 2. Prioriteren

In deze fase benoemen we concreet wat er bij (de uitvoering van) de dagelijkse werkzaamheden anders gedaan zou moeten worden: de verbetermogelijkheden. De geïdentificeerde verbeteringen betreffen zowel interventies in de organisatiecultuur, als aanpassingen van de structuur: wijzigingen in de bedrijfsactiviteiten, taken, bevoegdheden, verantwoordelijkheden, applicaties, besluitvorming, overlegstructuren et cetera. Het samen creëren van een intern platform voor voortdurend verbeteren draagt bij aan inzicht in de onderlinge samenhang en aan wederzijds begrip.

Tijdens workshops bepaalt en prioriteert het managementteam gezamenlijk wat er specifiek te verbeteren valt. Daarbij maken zij voor zichzelf en hun collega’s duidelijk door welke ‘brillen’ zij naar de activiteitenclusters kijken. Allemaal vanuit het besef dat ook hun stakeholders steeds door bepaalde brillen naar de organisatie kijken. Als het goed is, hebben die gekozen perspectieven alles te maken met de doelstellingen van de organisatie. Het kan dan bijvoorbeeld gaan over: continuïteit, veiligheid, duurzaamheid, integriteit, snelheid, efficiëntie, ondernemendheid en rendement.  Het is goed om te realiseren dat het woord ‘verbeteren’ op zich een leeg begrip is. De eerste vraag moet altijd zijn: wat versta je precies onder ‘beter’? Ook langs die weg kom je dan weer uit bij de waarde die je wil creëren en behouden voor je stakeholders.

Ad 3. Optimaliseren

De door te voeren verbeteringen zijn als het ware ‘verbouwingen’ van de bedrijfsvoering, terwijl de verkoop gewoon doorgaat. Daarom moeten deze aanpassingen goed geregisseerd worden. Wie herkent niet de situatie dat er talloze verbeterinitiatieven naast elkaar (blijken te) lopen, maar dat het overzicht erover ontbreekt? Het is dan ook zaak om te zorgen voor goed programmamanagement. 

Elke organisatie heeft slechts een bepaalde hoeveelheid verandercapaciteit. Daarom komt het aan op voortdurend prioriteren: welke verbouwingen moeten er vooral doorgaan? Welke kunnen we beter stoppen, omdat de beoogde resultaten voortdurend uitblijven? Het is handig om een duidelijk basissjabloon te hebben voor de verbeterplannen. Dat kan ook helpen bij het nadenken over het grote ‘waarom’: wat draagt de voorgestelde verandering van onze wijze van werken specifiek bij aan het beter realiseren van welke doelstellingen? 

Tenslotte

In dit artikel zijn we nader ingegaan op waardemanagement. Tot slot vatten we hieronder een aantal kenmerken van deze benadering samen:

  • Integraal – ze neemt waardecreatie en –behoud voor belangrijke stakeholders als uitgangspunt.
  • Richtinggevend – ze is gericht op de realisatie van de visie en de uitvoering van de strategie.
  • Holistisch – ze kijkt nadrukkelijk ook naar de opportuniteiten.
  • Praktisch – ze neemt de dagelijkse activiteiten als basis.
  • Verhelderend – ze maakt duidelijk wie verantwoordelijk is voor het goed uitvoeren van welke activiteiten.
  • Verrijkend – ze helpt managementteams om bewust door relevante ‘brillen’ te kijken naar hun bedrijfsvoering.
  • Prioriterend – ze stelt in staat om gestructureerd te kiezen uit verschillende verbetermogelijkheden.
  • Faciliterend – ze legt nadruk op het afwegen van passende werkstandaarden.
  • Ontzorgend – ze helpt om grip te houden op de vele lopende verbeterinitiatieven.
  • Verbindend – ze stelt het gemeenschappelijke speelveld (de ‘plattegrond’ van de bedrijfsvoering) centraal.

Het artikel maakt onderdeel uit van het e-boek Publiek Risico: 100 Essays.

* Dit artikel is eerder door PRIMO gepubliceerd in 2014.