Ken jij het probleem van risicomanagement al?

Risicogestuurd werken is bij veel organisaties nog niet aan de orde van de dag

Maandag 6 januari 2020 | Leestijd: 5 minuten | Silvie van de Haterd

Riskmanagers hebben veel te doen. Naast het in kaart brengen van risico’s, moeten ze deze ook onder controle proberen houden. Dat is géén fluitje van een cent in de VUCA-wereld waarin we ons momenteel begeven. Riskmanagers kunnen het niet meer alleen en hebben de organisatie nodig om risicomanagement écht onderdeel uit te laten maken van de bedrijfsprocessen. Echter zijn dit veranderingen waar weinig mensen op zitten te wachten. We kunnen wel stellen dat riskmanagers in een spagaat zitten en hier maar al te graag uit willen komen. De grote vraag is echter: hoe?

Een risico is vooralsnog geen probleem

In de ISO 31000 norm wordt een risico gedefinieerd als: het effect van onzekerheid op het behalen van doelstellingen. Hier wordt geen negatieve associatie gegeven aan het begrip, omdat het ook kansen op kan leveren. Een effect kan dus ook positief zijn. Dit gedachtegoed komt steeds meer in onze overtuiging voor, waardoor een risico dus ook kans of opportunity kan betekenen.

Een risico op zichzelf is dus (nog) geen probleem, dat wordt het pas als het risico daadwerkelijk optreedt. Hoe groot het probleem dan is, hangt af van hoe goed je er op voorbereid bent. De gevolgen kunnen namelijk meevallen als je goed voorbereid bent.

Wanneer is een risico wél een probleem?

Een risico is wél een probleem, nog voordat het zich manifesteert, als je er als organisatie niet (goed) op voorbereid bent. Uit de Global Risk Management Survey, een tweejaarlijks onderzoek dat Aon onder 1800 CEO’s, CFO’s en riskmanagers uitvoert, blijkt namelijk dat organisaties de afgelopen jaren zeer slecht voorbereid zijn op risico’s. Slechter zelfs dan voor én tijdens de economische crisis eerder dit millennium.

Uit het meest recente onderzoek, dat eind 2018 afgenomen is, blijkt dat slechts bij 40% van de Nederlandse organisaties risicomanagement onderdeel is van de corporate strategie. We liggen hiermee onder het wereldwijde gemiddelde van 51%.

Hier ligt eigenlijk ook het grootste pijnpunt bij de meeste organisaties: er wordt wel aan risicomanagement gedaan, maar het is niet doordrongen in de gehele organisatie. Of, zoals sommige riskmanagers het ook wel verwoorden: ‘Wij zitten op ons eiland, wij doen ons ding maar de rest van de organisatie heeft er weinig feeling mee.’ We horen het nog steeds zeer regelmatig: er wordt wel aan risicomanagement gedaan, maar wel vanaf het eiland van de riskmanager. Het lijkt wellicht goed nieuws dat, volgens het onderzoek, 63,2% van de Nederlandse organisaties formeel aan risicomanagement doet. Maar wetende dat het slechts in 40% van de organisaties ook onderdeel uitmaakt van de corporate strategie, missen veel riskmanagers het draagvlak om vanuit de hele organisatie risicogestuurd te werken. Oftewel, risicomanagement zit niet in het DNA van de organisatie. Om dat op te lossen moeten riskmanagers van hun eiland af kunnen komen en hun werk sámen met de rest van de organisatie kunnen gaan doen. Maar als zelfs het (hoger) management er geen noodzaak in ziet, wordt dat wel een heel lastige exercitie.

Verandering is spannend maar noodzakelijk

Menig riskmanager zal het herkennen: je wil wel, maar hoe krijg je in vredesnaam de rest van de organisatie zover dat er een risicocultuur gaat heersen? Het vereist een verandering in denken, in werken en in processen. Laat verandering nou voor velen spannend zijn. Veel mensen zijn namelijk niet gewend om in risico’s, of kansen, te denken. Het werk is hier dan ook vaak niet op ingericht en het wordt van hogerhand ook zelden gestimuleerd. Aan de andere kant is het management vaak ook niet gericht op risicogestuurd werken. Als er al aan risico’s gedacht wordt, is het meestal vanuit het compliance-oogpunt. Organisaties moeten aan allerlei wet- en regelgeving voldoen en zolang het risicomanagement daarbinnen past, wordt het toegepast. Dat gaat vaak, vooral binnen de operationele kant van de organisatie, met frisse tegenzin. Zo’n certificering of wet uitvoeren, wordt als extra ballast gezien. En zoals we ook bij audits zien: als het een moetje wordt, heeft niemand er echt zin in.

De cultuuromslag die dus bij veel organisaties moet plaatsvinden, is om risicomanagement ook als een kans te zien. Een kans om risico’s in kaart te brengen en te voorkomen dat het een probleem wordt (letterlijk). Of om te zorgen dat als het risico alsnog een probleem wordt, de gevolgen beperkt zullen zijn omdat je goed voorbereid bent.

Draagvlak creëren

Alles staat of valt met het creëren van draagvlak binnen alle lagen van de organisatie. Dit kan verkregen worden door bijvoorbeeld te stoppen met opdragen en te beginnen met uitleggen. Uitleggen waarom. Waarom is het belangrijk en wat kan het betekenen voor de organisatie en dus voor de medewerkers? Door medewerkers intrinsiek te motiveren, krijg je het uiteindelijk tussen de oren en wordt ook risicocultuur een tweede natuur. Dat is de heilige graal. Maar voor het zover is, gaat er behoorlijk wat tijd overheen. Wij zijn de laatste om dat te ontkennen. Maar heb je het eenmaal voor elkaar, dan is dat het perfecte uitgangspunt voor Integraal Risicomanagement (IRM).

Zie je dit allemaal wel zitten maar ben je nog op zoek naar een stukje ondersteuning? Neem dan eens contact op met onze experts. Zij kunnen je helpen bij alle vraagstukken rondom (Integraal) Risicomanagement en hebben uiteraard ook ervaring met de vraag ‘hoe krijg ik de rest van de organisatie mee?’.