‘Inmiddels op zeven afmeldingen. […] Uit ontvangen reacties heb ik al meegekregen dat risicomanagement het afgelopen half jaar door andere prioriteiten niet hoog op de agenda heeft gestaan.’ Dit mailtje van een business controller verscheen op m’n beeldscherm, twee uur voor de start van een intervisie. Een half jaar daarvoor had een diverse groep van twintig personen drie dagen opleiding over risicomanagement gevolgd. Desondanks was dat risicomanagement er nog niet echt van gekomen. Maar misschien is dat ook helemaal niet nodig, bedacht ik me.
Met risicomanagement sta je meteen met 3-0 achter
Noem het woord risicomanagement en je staat meteen met 3-0 achter. Althans, als je dit woord laat vallen buiten de afdeling Risicomanagement of de afdeling Planning en Control. Dáár wordt gedreven gewerkt aan het inventariseren, classificeren, beheersen van risico’s. Dit alles wordt gerapporteerd in risicodossiers, kleurrijke heatmaps of ‘kans x gevolg’ figuren en top 10 risicolijsten. Echter, buiten die afdelingen wordt risicomanagement veelal beschouwd als ‘papieren tijger’, ‘corvee’, ‘het feestje van de controller’.
Natuurlijk, af en toe wordt er met ‘de business’ of ‘in de lijn’ een ‘risicosessie’ georganiseerd, waarin tientallen risico’s worden opgesomd. Het daaruit ontstane risicodossier komt periodiek op de agenda van het management team, vaak als een van de laatste punten. Als er al aan toe wordt gekomen, dan worden enkele risico’s ‘geactualiseerd’. Vervolgens verdwijnen ze weer in de al dan niet digitale bureaula. Een wat overdreven negatieve karikatuur van risicomanagement? In elk geval niet vanuit mijn ervaring, in talloze organisaties, zowel bedrijven als publieke organisaties.
Geen tijd voor risicomanagement: logisch én onbegrijpelijk
Met het geschetste beeld van het gangbare risicomanagement is het eigenlijk logisch dat drukbezette managers en professionals er geen tijd voor willen vrijmaken. Een papieren tijger heeft immers geen directe meerwaarde voor ze. Het tijdrovende risicomanagement wordt opgelegd, het moet vanwege verantwoording of compliance. Het draagt niet bij aan het realiseren van hun doelen. Althans, dat denken ze.
Tegelijkertijd is het namelijk onbegrijpelijk dat drukbezette managers en professionals géén tijd vrijmaken voor het tijdig en expliciet omgaan met risico’s. Want waarschijnlijk zijn ze juist daarom zo druk met het steeds weer moeten blussen van acute, deels voorzienbare en vermijdbare brandjes. Ofwel, acute en ongewenste situaties, die onder andere zijn ontstaan door, jawel, opgetreden risico’s. Juist door niét tijdig en expliciet aandacht te geven aan die risico’s blijf je zo ronddraaien in het risico-rad van continu gedoe.
Wel tijd voor risicogestuurd werken: stel jezelf de ander drie vragen
Misschien is het daarom tijd om het gangbare risicomanagement om te draaien, op z’n kop te zetten. De ‘m’ van management wordt dan de ‘w’ van werken. Dit betekent dat het tijdig en expliciet omgaan met risico’s een vanzelfsprekend onderdeel wordt van het dagelijkse werk. Want zeg nou zelf, wie werkt er tegenwoordig nog aan vraagstukken waarbij géén onzekerheden spelen? Onzekerheden die zich negatief kunnen voordoen als risico, of juist positief als kans?
Wat helpt bij dit risicogestuurde werken is het steeds weer stellen van drie vragen, aan jezelf en aan de ander. Dit zijn drie makkelijk te onthouden vragen, waarin het gebruikelijke risicomanagement is samengevat. Ik noem ze de DOD-vragen, want het gaat om Doelen, Onzekerheden en Doen:
- Vraag 1: Wat is het Doel? Zie doelen hierbij breed, in de betekenis van wat wil jij, je team, je organisatie, je klant, je patiënt? Enkele voorbeelden: wat is de bedoeling van nieuw beleid, wat zijn de afdelingsdoelen voor het komende jaar, wat zijn de doelen van het innovatie-team? En ook wat is het duurzaamheidsdoel van een productieproces, of wat zijn de veiligheidseisen in een bouwproces? Samengevat, wat is het concrete resultaat waar je samen naar streeft? Allemaal voorbeelden van doelen.
- Vraag 2: Wat is daarbij Onzeker? Ofwel, welke onzekerheden kom je tegen bij de activiteiten of werkprocessen die leiden naar de doelen uit vraag 1. Onzekerheden met een negatieve invloed op het doel kunnen we beschouwen als risico’s. Vergeet niet dat onzekerheden ook een positieve invloed op doelen kunnen hebben. Dit zijn veelbelovende kansen, mogelijkheden, opportunities.
- Vraag 3: Wat met wie te Doen? Welke concrete maatregelen kun je met wie redelijkerwijs nemen om de risico’s te verkleinen, of om de kansen te vergroten? Denk hierbij aan preventieve maatregelen, die de waarschijnlijkheid van optreden van een risico verkleinen. Denk ook aan maatregelen die de gevolgen beperken, pas áls het risico zich voordoet. En vergeet dat bewust niets doen, het gewoon accepteren van een risico, ook een waardevolle optie is. Want waarom zou je élk risico tegen elke prijs moeten willen beheersen?
Risicoleiderschap tonen: iedereen die het wil, die kan het
Een aantal jaar geleden begon ik me steeds meer te verwonderen: waarom hebben we het altijd over risicomanagers en vrijwel nooit over risicoleiders? Onderzoek toonde aan dat risicoleiderschap een vrijwel ontgonnen begrip was. Voor mij een reden om risicoleiderschap te beschrijven als het doelgericht durven omgaan met risico’s (én kansen). Om zo de waarschijnlijkheid dat de doelen worden gehaald zo groot mogelijk te maken. Dit ondanks alle dynamiek en complexiteit waar we in ons werk vrijwel dagelijks mee te maken hebben.
De essentie van het tonen van risicoleiderschap is het steeds weer durven stellen van de drie DOD-vragen, aan jezelf en aan iedereen om je heen. Wie dit wil, die kan dit. Stel deze soms ongemakkelijke vragen in je bestaande overleggen. Leg de antwoorden zo nodig beknopt en scherp geformuleerd vast in je bestaande rapportages. Dit is risicogestuurd werken, door het tonen van je persoonlijke risicoleiderschap. De deelnemers aan de intervisie hebben het diezelfde middag nog bevestigd: je hoeft helemaal niet aan risicomanagement te doen om risicoleiderschap te tonen.
Door: Martin van Staveren
Dr. Martin van Staveren doceert, adviseert en schrijft over omgaan risico’s binnen organisaties. Hij is onder andere kerndocent risicomanagement, Universiteit Twente en doceert in diverse collegereeksen van Nyenrode Business Universiteit. Hij is auteur van de boeken Risicogestuurd werken (2015), Risicoleiderschap (2018) en Iedereen Risicoleider: Waardevolle doelen realiseren én behouden in een onzekere wereld (2020).
