Expertbijeenkomst IRM: Wat is jouw zwarte piste?

Woensdag 19 juni 2019 | Leestijd: 6 minuten | Bart Bolwijn

Enkele weken geleden vond de expertbijeenkomst over Integraal Risicomanagement plaats. Samen met 20 risk- en compliance managers spraken we over thema’s als risicobewustzijn en -volwassenheid. Onze voornaamste lessen delen we graag met jullie.

Organisaties staan voor een steeds grotere uitdaging. Hoe zorg je ervoor dat je duurzaam en langdurig succesvol bent en blijft in een wereld waarin de ontwikkelingen zo razend snel gaan? De druk op mensen, marges, processen, veiligheid en technologie ligt continu hoog, mede door regelgeving.

Eén van de mogelijke oplossingen om dit te managen is meer grip te krijgen op risico’s die je bewust of onbewust neemt. Dit was dan ook het onderwerp van de expertbijeenkomst over integraal risicomanagement (IRM) op donderdag 6 juni jongstleden. Twintig integraal risicospecialisten namen deel aan deze inspirerende bijeenkomst.

Integraal Risicomanagement (IRM); het is niet het ei van Columbus, maar zeker een interessante en nog steeds enigszins ondergewaardeerde oplossing om meer grip te krijgen op de resultaten van de organisatie. De voorwaarde hierbij is dat dit veel verder gaat dan een Excel-overzicht waarop veel te veel risico’s staan die in een te lage frequentie door te weinig, en verkeerde, mensen wordt bijgehouden. In de praktijk blijkt een lijstje in Excel echter veelal het uitgangspunt te zijn.

Risicomanagement bij Van Wijnen

Vivian Haex van Van Wijnen, een bouwonderneming met 1785 fte en een jaaromzet van bijna 1 miljard euro, was één van de sprekers tijdens deze middag. Zij vertelde hoe ze, na een audit van PwC op 1 januari 2018, in de nieuwe functie van risicomanager de uitdaging is aangegaan om risicomanagement te implementeren bij Van Wijnen. Belangrijk uitgangspunt hierbij is dat het centraal aangestuurd moest worden in aansluiting op de decentrale structuur van het bedrijf. Daarnaast moet de oplossing risicobewustzijn stimuleren en vooral aanzetten tot het actief managen van risico’s, op pragmatische wijze en zo laag mogelijk in de organisatie.

Draagvlak creëren

Van Wijnen maakt onderscheid tussen strategische bedrijfsrisico’s en operationele projectrisico’s. Vooral de integratie met het bestaande projectmanagementproces is goed gelukt. In de praktijk komt het erop neer dat via uniforme quick scans en een maandelijkse gestandaardiseerde voortgangsrapportage de kansen en risico’s in het project worden gemanaged, vooral als het gaat om de voortgang en inzet van mensen en middelen (tijdigheid, betrouwbaarheid, overschrijdingen). Hiermee is risicomanagement echt onderdeel geworden van het operationele proces.

Vivian heeft de organisatie ook betrokken bij het verder verfijnen en optimaliseren van de hulpmiddelen, waardoor het draagvlak vergroot is. Er wordt zowel voor het afsluiten van een contract, als gedurende de gehele looptijd van het project, een risicoanalyse uitgevoerd. Het kan natuurlijk niet zo zijn dat de ene vestiging inschrijft op een project terwijl een andere vestiging dit te risicovol vindt. Voorheen werd een post ‘onvoorzien’ gebruikt en nu worden de kansen en risico’s gedurende de looptijd van het project benoemd. Hierdoor is de transparantie vergroot en is inzichtelijk waar een project goed loopt en waar de zwakke plekken zitten, waardoor er beter kan worden bijgestuurd en geleerd, en faalkosten verminderd worden.

Risicocultuur

Het werken aan de juiste houding en gedrag om te komen tot de gewenste risicocultuur is en blijft een continu aandachtspunt, waarbij voorbeeldgedrag van de leiding essentieel is. Voor de CEO en de groepsdirectie staat veiligheid op één en risicomanagement op twee in de kwartaalbespreking met het regiomanagement. Door deze verantwoordings- en rapportagestructuur is risicomanagement geïntegreerd in zowel bestuurlijke als operationele processen.

Door de invloed, omvang en afhankelijkheid van technologie en geautomatiseerde systemen moet risicomanagement steeds meer real-time informatie geven, gekoppeld aan tal van processen die voor de organisatie belangrijk zijn. Een andere interessante ontwikkeling is dat risico’s steeds meer vooraf met de opdrachtgever besproken worden. Dit is uiteraard een spannende exercitie; immers in hoeverre kan en wil je vooraf risico’s bespreken.

High reliability organization

Marieke Kessels van Infoland voegde hier nog enkele interessante aandachtspunten aan toe. Bij integraal risicomanagement gaat het vooral om het borgen dat de organisatie haar doelstellingen kan halen zonder voor verrassingen te komen staan. Daarnaast wil een organisatie tijdig kunnen inspelen op zaken die anders lopen of veranderingen die niet voorzien zijn. Succesvolle organisaties zijn organisaties die langdurig high reliable zijn (high reliability organizations). Hierbij ziet Marieke enkele opvallende transities. Risicomanagement zal meer en meer ingericht worden op basis van risico’s, en minder op basis van compliance. Risico’s die afgeleid zijn van bedrijfsdoelstellingen, en waar het accent ligt op bewustzijn en risico-eigenaarschap in plaats van verantwoording. Niet alleen gericht op de bekende risico’s, maar juist ook op het nog onbekende.

Risicomanagement van iedereen, voor iedereen

Een andere belangrijk punt bij bewustzijn is dat we ons meer en meer moeten focussen en kiezen, van ‘we can control anything’ naar ‘we cannot and will not control anything’. Tevens is het van belang om niet alleen te kijken vanuit silo’s, maar vooral te kijken naar het integrale, totale plaatje. Het multidisciplinair bespreken van risico’s, over alle processen en afdelingen heen, is cruciaal om integraal inzicht te verwerven in wat echt belangrijk is voor de organisatie.

Een effectief en integraal IRM systeem zal verschillende risico’s omvatten: strategische, operationele, compliance gerichte (GRC), financiële en project-/procesgerichte risico’s. Deze worden niet gemonitord door alleen een riskmanager, maar juist door velen in de organisatie en op een zo efficiënt mogelijke wijze. Dus door professionals in de business, in de tweede lijn door risk managers of risk officers en in de derde lijn door auditmanagement. Het IRM systeem zal daarbij gevoed worden door alle mogelijke bronnen: klachten, claims, onveilige situaties, afwijkingen, incidenten en ideeën. Methoden zullen zowel reactief en retrospectief zijn als prospectief, welke elkaar bovendien kunnen versterken.

Risicobereidheid

Wat ook helpt is om gezamenlijk te formuleren wat de risk appetite is. Dit geeft namelijk richting en maakt de organisatie bewuster van de vraag of meer beheersing (en dus meerkosten) gewenst en noodzakelijk is, of dat een zekere risicobereidheid bewust genomen kan worden. Als je geen idee hebt wat de bereidheid is om risico te lopen, heb je ook geen idee hoeveel energie en geld je moet besteden aan beheersing. Overigens helpt het soms om het niet te hebben over risico’s, maar het anders te verwoorden. Dat kan bijvoorbeeld door de vraag te stellen ‘Wat is jouw zwarte piste?’ of ‘Waar lig jij wakker van?’.

Behavioral en social contagion

Net zoals bij vele andere onderwerpen kost het tijd en aandacht om de effectiviteit van risicomanagement te vergroten. Veel organisaties zijn weerbarstig, bestaande uit professionals die ook kuddedieren zijn, die elkaar volgen in het niet uitvoeren als het niet strikt noodzakelijk is of wanneer de zin ervan onvoldoende wordt begrepen. Uit onderzoek naar behavioral en social contagion (het elkaar volgen) blijkt dat je maar een klein deel van een groep nodig hebt om veranderingen door te voeren, maar wel precies die 5% van de organisatie die voldoende invloed heeft. Ken deze 5% en mobiliseer deze om risicomanagement met enkele van de genoemde tips tot een succes te maken. Zo geef je de organisatie meer houvast en inzicht in deze veeleisende en continu veranderende wereld.

Meer weten?

Wil je meer weten over integraal risicomanagement, bekijk dan ook eens onze IRM pagina, of vul onze quickscan in! Zo kom je te weten waar jij als organisatie staat.

Dit vind je wellicht ook interessant: