Wie bij risicomanagement denkt aan lange Excelsheets vol met niet te begrijpen cijfers heeft het mis, aldus Martin van Staveren. Martin van Staveren is schrijver van het boek Risicogestuurd werken in de praktijk, eigenaar van organisatieadviesbureau VSRM en kerndocent risicomanagement in een tweetal masteropleidingen aan de Universiteit Twente. "Effectief omgaan met risico’s vraagt niet om nog meer procedures en toezicht".
Wat is risicomanagement precies? En waarom zouden organisaties ermee aan de slag moeten?
Voor mij is risicomanagement niets meer dan gestructureerd en expliciet omgaan met risico’s. En dan is de vraag natuurlijk: wat zijn risico’s? Mijn definitie is dat een risico het effect is van onzekerheid op doelstellingen. Deze link met doelstellingen is sterk, want het maakt risicomanagement meteen doelgericht. En het maakt het voor mensen makkelijker om met risico’s aan de slag te gaan, omdat iedereen doelen heeft: werkdoelen, organisatiedoelen, maar ook privédoelen. Vrijwel iedereen met een doel heeft te maken met onzekerheden. En het slim omgaan met de onzekerheden die je tegenkomt op weg naar je doel, dat is naar mijn overtuiging de kern van risicomanagement.
Organisaties hebben vrijwel altijd wel een vorm van risicomanagement, al is het maar intuïtief. Een organisatie zonder risicomanagement zie ik als rijden in de auto met je ogen dicht en dus geen oog hebben voor de obstakels die je onderweg tegenkomt. In mijn boek omschrijf ik risicomanagement als gestructureerd en expliciet omgaan met onzekerheid. Met gestructureerd bedoel ik dat je bepaalde, cyclische stappen doorloopt, en met expliciet bedoel ik dat je echt de realiteit durft te zien. En dat je met elkaar in een organisatie durft te benoemen wat er wel eens mis zou kunnen gaan.
Je hebt het boek Risicogestuurd werken in de praktijk geschreven. Waarom heb je dit gedaan?
Ik vond drie vakgebieden altijd al interessant: psychologie, techniek en economie. Ik heb technische aardwetenschappen gestudeerd, waar vooral de techniek centraal stond, maar na mijn MBA vielen al deze drie elementen samen. Daar werd het vak risicomanagement gedoceerd en werd ik getriggerd door de kracht van de combinatie van de vakgebieden. In 2009, midden in de crisis en vlak na mijn promotieonderzoek over risicomanagement, heb ik daarom besloten om een bureau te starten op het gebied van risicomanagement. Onder het mom van ‘practice what you preach ’ heb ik dit bewuste risico genomen!
Na vijf jaar praktijkervaring vanuit m’n adviesbureau heb ik dit boek heb ik geschreven om risicomanagement toegankelijk te maken. Mensen die in eerste instantie denken dat ze niets aan risicomanagement hebben of achterhaalde ideeën over risicomanagement hebben, probeer ik over de streep te trekken om er toch mee aan de slag te gaan.
In je boek zie ik twee soorten risicomanagement: de ‘oude’ manier en de ‘nieuwe’ manier. Kun je hier wat meer over vertellen?
Dat klopt. Risicogestuurd werken noem ik deze ‘nieuwe’ manier van risicomanagement. Dat heeft te maken met het vernieuwde managementdenken dat de laatste tijd opkomt, als reactie op het ‘oude’ managementdenken van Frederick Taylor. Dat denken gaat uit van beheersbaarheid, specialisatie, standaardisatie en voorspelbaarheid. Vijftig jaar geleden is het risicomanagement ontstaan, gebaseerd op het managementdenken van Taylor. Nu zijn we vijftig jaar verder en de wereld is nogal veranderd, maar we zijn nog steeds bezig met deze oude manier van denken.
En daar gaat het naar mijn idee mank. Want juist in een omgeving met veel onzekerheid en veranderlijkheid, heb je veel meer aan flexibiliteit dan alles vast te gieten in protocollen en procedures. En dat wekt naar mijn idee een soort schijnzekerheid op - wat eigenlijk nog gevaarlijker is dan geen risicomanagement doen. Want je wekt de illusie dat je in controle bent, terwijl je dat niet bent.
Kun je verschillen noemen?
Allereerst de bredere definitie van risico. Zo is een risico niet persé iets negatiefs: onzekerheid kan ook positief uitpakken. Een veelgehoorde definitie van een risico is kans maal gevolg. Maar het grote probleem hierbij is dat het risico op een tsunami dus hetzelfde is als het risico op een regenbui. Een tsunami heeft namelijk een kleine kans met groot gevolg en bij een regenbui is het precies andersom. Je krijgt dus hetzelfde risicogetal voor twee risico’s die onvergelijkbaar zijn en om totaal andere oplossingen vragen. Daarbij probeert traditioneel risicomanagement risico’s teveel in cijfers te vangen waarbij de subjectiviteit verdwijnt en een soort schijn-objectiviteit ontstaat.
Ook het omgaan met risico’s verschilt. Traditioneel risicomanagement gaat vooral uit van het verkleinen van kansen op risico’s, terwijl modern risicomanagement ook de mogelijkheden van het verkleinen van de gevolgen meeneemt. En dan blijven er nog altijd dingen, die we gewoonweg niet kunnen weten: de onbekende onbekenden. Wat we wel weten kunnen we voor een deel managen en voor een deel kunnen we die risico’s ook accepteren. En dat wat we niet weten, kunnen we per definitie ook niet managen. Aan de andere kant heb ik wel de overtuiging dat als je goed in staat bent om de bekende risico’s te managen, je ook beter kan omgaan met de onbekende onbekenden. Omdat je flexibel en weerbaar bent en dat je opkomende risico’s eerder kan signaleren en escalatie kan beperken.
En het implementeren van risicogestuurd werken verschilt van risicomanagement. Veel organisaties die starten met risicomanagement, starten met het schrijven van risicomanagementhandboeken. Daar beginnen ze heel optimistisch en positief mee: iedereen mag er wat van vinden en na drie maanden is het handboek er. Maar wat blijkt: er staan toch een aantal dingen in dat handboek die niet zo handig zijn. Maar er staan ook zes handtekeningen op, dus dat gaan we niet veranderen, anders moeten we weer die hele molen door. Dus waarschijnlijk gebeurt er niet wat er in het handboek staat en is het handboek een papieren tijger geworden.
En dat komt, denk ik, omdat risicomanagers vaak meer bezig zijn met ontwerpen dan met ontwikkelen, ook één van de verschillen tussen traditioneel risicomanagement en risicogestuurd werken. Met ontwerpen bedoel ik dat er een risicoaanpak is ontworpen en is beschreven in een handboek, die vervolgens in de praktijk wordt uitgevoerd. Maar als je, zoals velen van ons, in een praktijk zit die ambigu en veranderlijk is en met mensen samenwerkt die een verschillende kijk hebben op risico’s, dan is het beter om risicomanagement samen te ontwikkelen.
Een ander verschil is onteigenen en eigenaarschap. Onteigenen is zeggen: ik ben de risicomanager. Ik breng de risico’s in kaart en ik schrijf de protocollen en jij hebt ze maar uit te voeren. Dan voelt iemand zich onteigend. In plaats van dat je zegt: jij bent de professional, jij weet hoe het werkt, hoe kan ik jou helpen om ondanks de risico’s toch je doelen te realiseren? In mijn boek benoem ik twintig verschillen tussen traditioneel risicomanagement en risicogestuurd werken.
Hoe ziet risicomanagement er in een ideale organisatie uit?
Ten eerste, de ideale organisatie heeft geen risicomanager, hoe gek dat misschien ook klinkt. Een risicomanager of risicoafdeling impliceert dat dáár de risico’s worden ‘gemanaged’, terwijl dat niet zo is. Mogelijk is er wel een risicoprocesmanager of risicofacilitator. In de ideale organisatie is risicomanagement geen aparte silo, maar iets wat volledig is geïntegreerd in alle werkprocessen van de organisatie. Eerder heb ik voorspeld dat al die verschillende disciplines, zoals veiligheidsmanagement, kwaliteitsmanagement, reputatiemanagement en risicomanagement allemaal samengaan in één managementdiscipline. Of beter misschien zelfs: in het werkveld van de professional wordt opgenomen. De nieuwe ISO 9001:2015 bevestigt deze trend.
Dat betekent ook dat professionals, zoals artsen of accountants, inderdaad het effectbesef moeten hebben wat hun handelen betekent op de situatie en het handelen van anderen. En dat betekent ook, vind ik, dat als je verpleger of accountant bent, je ten eerste scherp moet hebben wat je eigen doelen zijn, welke kaders er zijn, maar dat er ook de autonome ruimte moet zijn voor de professional om daar binnen te handelen. We gaan niet met elkaar aan hele zware handboeken en protocollen werken, maar we spreken af dat we flexibel en dat we wendbaar zijn. In organisaties zou daarom, paradoxaal genoeg, een formele afspraak moeten worden gemaakt om flexibel te zijn.
Veel bedrijven en instellingen gaan nu de slag met risicomanagement. Heb je praktische tips voor hen?
Ja. Een hele praktische tip en misschien wel de belangrijkste is: houd het simpel. Houd het zo simpel mogelijk. Het is beter dat iets eerst te simpel is, dan te ingewikkeld. Te simpele dingen kun je later nog aanpassen en verbeteren. De grote valkuil met risicomanagement: er zijn prachtige technieken, modellen en softwaresystemen om het ingewikkeld te maken. Dus maak een hele beknopte en flexibele risicomanagement richtlijn voor de organisatie of maak een ‘tien-richtlijnen-lijstje. Ga daarmee écht aan de slag en ontwikkel daar het risicogestuurd werken verder mee. En ga kijken wat wel werkt en wat niet werkt. Dus ga van ontwerpen naar ontwikkelen.
En dat is gelijk ook punt twee: ga het gesprek aan over de scherpe keuzes. Een kwaliteitseis van x procent leverbetrouwbaarheid: is dat wel haalbaar? Binnen de capaciteit van de organisatie, binnen de competenties die de mensen hebben. En vraagt de klant daar eigenlijk wel om? Ga expliciet de discussies aan over kwaliteitsdoelen en kwaliteitseisen. En laat ook zien hoe die doelen andere doelen als omzet kunnen beïnvloeden. Ga het expliciete gesprek aan, laat de realiteit zien. En maak scherpe keuzes met elkaar.
Dit interview door Harmen Koopman verscheen eerder op www.scienta.nl
Over Justin van Lopik
Justin van Lopik is werkzaam bij Managementboek en hoofdredacteur van Managementboek Magazine, platform voor business professionals.