Risicomanagement werpt nog niet de beloofde vruchten af…

Harmen Jansen
Risicomanagement is inmiddels een bekend begrip. Mede door de manifestatie van vele incidenten en schandalen in diverse sectoren heeft de ontwikkeling en toepassing van risicomanagement de laatste 20 jaar een vlucht genomen. Naast de ontwikkeling van risicomanagement in de financiële sector wordt het inmiddels ook actief ingezet in bijvoorbeeld de (semi-)publieke sector en de handel- en maakindustrie. Veel organisaties implementeren risicomanagement aan de hand van het COSO Enterprise Risk Management framework, een model dat zowel nationale als internationale bekendheid geniet. Maar worden de beloftes wel ingelost?

Risicomanagement werpt in de meeste organisaties nog niet de beloofde vruchten af. Adequaat risicomanagement kán helpen bij behalen van doelstellingen en het creëren van voorspelbare (financiële) resultaten. Dit onder andere door inzicht te geven in risico’s en kansen bij besluitvorming, processen en projecten te beheersen maar ook door silovorming in de organisatie tegen te gaan. Uit recent onderzoek bleek dat risicomanagement niet voldoende leeft in de meeste onderdelen en/of lagen van organisaties. Onze ervaring leert dat het op een integrale wijze grip krijgen op risico’s en risicomanagement inbedden in de dagelijkse business uiterst moeizaam is. Een tweetal grondoorzaken van dit probleem komen we in onze praktijk vaak tegen:
Focus op de tool in plaats van het doel
Een belangrijke oorzaak waarom risicomanagement nog niet volledig van de grond komt, is te vinden in de inzet van een (te) instrumentele benadering. Er wordt in veel gevallen aan risicomanagement gedaan omdat dit geëist wordt door de buitenwereld of enkel door het hogere management (vaak vanuit compliance gedachte). Voor deze organisaties is het geen probleem om complexe risk templates/tooling te lanceren en uiteindelijk te komen tot een robuust in-control statement. Echter, van een gedeelde intrinsieke wil om van risicomanagement een succes te maken is in deze gevallen geen sprake, waardoor het beheersen van risico’s niet beklijft in de cultuur.
Onvoldoende aansluiting bij de belevingswereld van de ‘business’
Een groot aantal organisaties dat wel vanuit een intrinsieke motivatie risicomanagement probeert te implementeren, vindt het lastig dit te koppelen aan de dynamische wereld waarin de organisatie of ‘business’ zich begeeft. Terwijl deze business uiteindelijk een essentiële rol heeft in de beheersing van risico’s, wordt meestal onvoldoende aansluiting gevonden bij haar wensen en belevingswereld. De focus ligt dan voornamelijk op het uitvoeren van de primaire taken waarbij risicomanagement vaak als ballast wordt gezien. De kracht van een goede risicofunctionaris is om risicomanagement op maat aan te bieden en levend te maken bij zijn/haar (interne) klant. Daarbij is de aanwezigheid van voldoende kennis van de primaire processen, de organisatie en de betreffende sector een absolute must.
Hoe dan wel?
Hoe komen we dan tot een risico gestuurde organisatie waarbinnen risico’s actief en intrinsiek gemanaged worden op alle lagen? Een veelgestelde vraag waar geen one-size-fits-all oplossing voor aanwezig is. Wel is een aantal waardevolle basisingrediënten te benoemen die het leven met risico’s en de beheersing hiervan een stuk aangenamer kunnen maken:
Van impliciet naar expliciet keuzes maken
Risicomanagement over de volle breedte en diepte in een organisatie implementeren klinkt als een hels karwei. Dit hoeft het echter niet te zijn. Zonder dat we ons er direct bewust van zijn, maken we namelijk continu risicoafwegingen. Neem bijvoorbeeld het aannemen van nieuw personeel. Veel organisaties maken al gebruik van meerdere gespreksrondes en/of een assessment voordat een nieuwe medewerker aangenomen wordt, om te voorkomen dat de verkeerde personen gecontracteerd worden. Risicomaatregelen worden wel zeker getroffen zonder deze als zodanig te benoemen.
Organisaties acteren veelal continu impliciet vanuit die risicogedachte. Risicomanagement is in essentie ook niet veel meer dan het op een gestructureerde manier expliciet maken van risico’s, het afwegen van kans en impact en het bewust maken van keuzes op basis van de afweging. De belangrijkste stappen betreffen hierbij het expliciet maken van de risico’s die vaak in gedachten aanwezig zijn. En op basis hiervan het maken van weloverwogen keuzes met betrekking tot het gewenste niveau van beheersing. Niets meer dan een kwestie van benoemen en beschrijven wat meestal al aanwezig is. Een kind kan de was doen…
Houd het simpel
Eenvoud is de sleutel tot succes. Riskspecifieke termen zoals risicobereidheid, risicoprofiel, risk response en risico toleranties werken eerder verwarrend dan verhelderend. Het advies is dan ook om dergelijke terminologie in eerste instantie te vermijden in gesprekken met medewerkers. Jip en Janneke taal werkt nog altijd erg krachtig en spreekt tot de verbeelding van iedereen.
Met betrekking tot risicobereidheid is het juist de kunst om medewerkers en management te laten acteren vanuit hun risicobereidheid zonder deze term expliciet te benoemen. Verder zijn grondige risicoanalyses altijd nuttig. alleen schuilt het gevaar van een te grondige analyse erin dat een organisatie vervolgens grip probeert te houden op een te groot aantal risico’s. Vaak mondt dit uit in een lijvige papieren exercitie welke niet leeft op alle niveaus, laat staan adequaat te monitoren is. Beter is om het klein te houden en enkel actieve beheersing toe te passen op een kleinere selectie van risico’s. “Liever adequate beheersing op de top 10 risico’s dan geen of onvoldoende beheersing op 100 risico’s”, luidt het devies. Vanuit een kleinere basis kan vervolgens rustiger verder worden gebouwd.
Koester en train risicobewustzijn
Naast het expliciet maken van hetgeen dat impliciet vaak aanwezig is en het aanhouden van eenvoud is het cruciaal continu aandacht te besteden aan het risicobewustzijn in de organisatie. Een gedegen risicobeheersingssysteem en -cultuur vallen of staan met risicobewustzijn onder alle medewerkers. Risicobewustzijn is bij veel medewerkers inherent aanwezig. Bij anderen dient dit aangewakkerd of ontwikkeld te worden. Een periodieke training om medewerkers alert te maken en bewust te houden kan uitkomst bieden. Interne incidenten zijn nooit gewenst, maar tegelijkertijd zijn incidenten veelal unieke events om te leren en beter te worden. Grotere kansen om risicobewustzijn te stimuleren zijn er niet en één garantie hebben we zeker: waar gewerkt wordt, worden fouten gemaakt! Met andere woorden, incidenten zullen altijd ontstaan.
Tot slot: maak risicomanagement vooral levendig en houd het leuk voor iedereen. Wees creatief in workshops en stimuleer altijd dat medewerkers praten over risico’s, in welke orde van grootte dan ook. Sommige organisaties belonen medewerkers die proactief risico’s aandragen, wat een sterk positief effect heeft op de risicocultuur. Benoem tot slot ook eens kansen tegenover risico’s. Een kans identificeren spreekt immers de meeste mensen meer aan dan het benoemen van een risico.
Om te komen tot een volledig beheerste organisatie is uiteraard nog genoeg te doen. Wel biedt bovenstaande bruikbare handvatten om een gedegen basis neer te zetten en daarbij te voorkomen dat risicomanagement enkel instrumenteel beleefd wordt. Gelukkig bleek vanuit het eerder genoemde onderzoek ook dat meer dan 80% van de respondenten de toegevoegde waarde van risicomanagement wel in ziet, dus er is zeker hoop. Wat dat betreft luidt hierbij ons laatste advies: hup, aan de slag!
De auteur Harmen Jansen is Senior Consultant Business Risk Services bij Improven.