‘Het beeld van risicomanagement dat er mannetjes door gebouwen lopen die zeggen wat er allemaal niet mag, klopt helaas.’ Dat zegt risicomanagement expert Martin van Staveren. ‘De beeldvorming van risicomanagement is vaak negatief, hakken in het zand, kijken wat niet mag. Terwijl als je het in een breder perspectief bekijkt, dan gaat het er vooral om wat je wilt bereiken, als persoon, als team, als afdeling, als organisatie. Welke onzekerheden kom je tegen en hoe kun je daar goed mee omgaan?’
Eerst moet duidelijk zijn wat een risico is en wat een onzekerheid is, legt Van Staveren uit. ‘Dat is namelijk niet hetzelfde. Een steeds meer gebruikte definitie van een risico is het effect van onzekerheid op je doelen. Je wilt bijvoorbeeld meer omzet halen met het team. De vraag is dan welke onzekerheden je om je heen ziet die dat kunnen beïnvloeden. Traditioneel worden dan de negatieve zaken bekeken. Maar het is breder: onzekerheden kunnen ook kansen zijn die zorgen dat de omzet meer wordt.’
Van Staveren geeft een voorbeeld: ‘Stel je verkoopt zwembandjes en er komt wellicht een nieuw zwembad in de buurt, dan zijn er verschillende mogelijkheden. Stel dat het niet zeker is dat het zwembad er komt, dan is het een kans. Want als het zwembad er komt, geeft dat mogelijkheden voor nieuwe omzet. Maar als het zwembad er komt en het zwemmen daar komt na wat incidenten in een negatief daglicht te staan, zodat mensen niet meer gaan zwemmen, dan is dat een onzekerheid die een negatieve impact heeft.’
Onzekerheden zijn permanent aanwezig
‘Onzekerheden zijn permanent aanwezig in de wereld. Modern risicomanagement is niets anders dan kijken wat je wilt bereiken, welke onzekerheden je tegenkomt en wat je daar aan kunt doen. Kan ik met een pr-campagne het zwemmen populair maken, of kan ik mijn zwembandjes goedkoper maken, kan ik van zwembandjes naar iets anders gaan? Omgaan met onzekerheden is dus eigenlijk de kern van elke business. Risicomanagement is heel doelgericht denken.’
‘Risicomanagement is heel doelgericht denken.’
‘Mensen doen dat vaak al intuïtief, maar het wordt pas risicomanagement als we dat bewust doen. Dan moeten we via een aantal stappen bepalen wat het doel is, wat het risico is, hoe hoog het risico is en bepalen of we überhaupt wat aan het risico willen doen. Want dat is ook een misvatting. Je hóeft niet aan elk risico wat te doen. Ik wil sommige risico’s gewoon accepteren, omdat ik ze kan dragen. Bijvoorbeeld: je gaat op vakantie: neem ik wel of neem ik geen reisverzekering. Dat is afhankelijk van je spaarpot, of je het risico kunt opvangen.’
Wat risico’s zijn is niet altijd duidelijk voor mensen. Vaak benoemen ze problemen als risico en dat klopt niet zegt Van Staveren: ‘Een risico is geen probleem. Een probleem is er al. En een probleem is iets waar een risico uit kan ontstaan. Hoog ziekteverzuim bijvoorbeeld is geen risico, dat is een probleem. Het risico is dat door het hoge ziekteverzuim de omzet kan dalen. In de praktijk merk je dat het scherp hebben van wat problemen en risico’s zijn niet altijd aanwezig is.’
Disruptie en risicomanagement
Veel organisaties hebben last van disruptieve innovaties, of nieuwe opkomende disruptieve businessmodellen. Sommige lang bestaande organisaties vallen mede daardoor om. Met écht goed risicomanagement had dat voorkomen kunnen worden, denkt Martin van Staveren: ‘Disruptieve ontwikkelingen zijn ontwikkelingen om je heen, ontwikkelingen in de wereld. Het risicomanagement had dan tijdig moeten duiden welke ontwikkelingen effect hebben op de doelen of zelfs het bestaansrecht van de organisatie. Dus dat betekent dat je heel sensitief moet zijn voor je omgeving. Je moet in de goede netwerken zitten en informatie die je opvangt – vooral de zogenoemde “zwakke signalen” – op waarde kunnen schatten en benutten. Juist in deze disruptieve wereld is het dus van belang om onzekerheden scherp in beeld te hebben. Waarbij het natuurlijk niet zo is dat je alles kunt voorspellen, maar je moet de signalen wel willen zien. Je moet dus de realiteit willen en durven zien, ook al is die niet leuk.’
Risicomanagement en big data
‘Een andere hele interessante ontwikkeling voor het omgaan met risico’s is big data. De uitdaging is om een goed algoritme te hebben, zodat de big data goed toepasbaar worden. Je moet daarvoor wel betrouwbare data krijgen en die combineren. Je kunt met big data trends gaan ontdekken, die je anders niet zou ontdekken. Je kunt onzekerheden hiermee verkleinen en relaties ontdekken die je anders niet had gezien. Daarnaast kun je op basis van analyses van gebeurtenissen betere risico-inschattingen maken. Een simpel voorbeeld is de verzekeringswereld. Een kastje in je auto registreert je rijgedrag. Dan lever je een stukje privacy in, maar doordat de verzekeraar meer data van jou krijgt, kan hij gerichter een offerte maken voor jouw verzekeringspremie. Nu word je vooral op leeftijd gesegmenteerd, dat kan met big data veel meer persoonsgericht worden.’
‘Objectieve risico’s bestaan niet’
De percepties en het gedrag van mensen zijn van grote invloed op risicomanagement en op het omgaan met risico’s. ‘Objectieve risico’s bestaan niet’, zegt Van Staveren. ‘Vaak speelt subjectiviteit door persoonlijke inschattingen een grote rol. Een goed voorbeeld is in Amerika na 9/11. Veel Amerikanen gingen niet meer vliegen, want dat was onveilig en ze pakten de auto. Hun perceptie was dat autorijden veiliger zou zijn. Maar wat bleek na onderzoek? In die tijd zijn er honderden mensen extra verongelukt op de weg, die niet verongelukt zouden zijn als ze het vliegtuig hadden genomen. Dus je ziet dat de inschatting op basis van intuïtie en emotie niet altijd overeenkomt met de inschatting die je op rationele basis van pure feiten zou maken. Deze persoonlijke subjectiviteit en het gedrag dat eruit voortkomt moet je niet ontkennen, maar ook zeker niet negeren. Veel risico-experts doen dat wel. Die baseren zich op feiten en negeren de rest. Maar die subjectieve kant moet je wel heel nadrukkelijk meewegen.’
‘Subjectiviteit door persoonlijke inschattingen speelt een grote rol in risicomanagement’
‘Mijn vrouw werkt bijvoorbeeld in de gezondheidszorg. Daar hebben ze het over een “niet-pluis-gevoel”. Alle metingen en cijfers kloppen, maar toch is er dan het gevoel dat er iets niet goed is met een patiënt. Dan is dat reden voor extra waakzaamheid, of om extra onderzoek te doen. Ik ben er dan ook van overtuigd dat vakmanschap en ervaring en kennis en het besef van perceptie allemaal heel belangrijke factoren zijn bij het inschatten van risico’s.’
Geen normen maar richtlijnen
Vaak heerst het idee dat als er maar aan de norm wordt voldaan, het wel goed zit. Maar dat idee klopt niet: ‘Normen zijn gebaseerd op gemiddelden. En we leven in een wereld die niet gemiddeld is: er zijn uitschieters alle kanten op, zegt Van Staveren. ‘Ik spreek daarom liever van richtlijnen dan van harde normen. Want richtlijnen bieden richting en bieden de professionele ruimte om vanuit die richtlijn te blijven nadenken en situatie specifiek dingen te blijven doen. Want wat een acceptabel risico is, kun je onmogelijk in algemeenheden vatten.’
Wat een acceptabel risico is, kun je onmogelijk in algemeenheden vatten.
‘We moeten ook uitkijken dat het middel geen doel wordt. Veel organisaties doen aan risicomanagement om het risicomanagement. Ze willen kunnen aantonen dat ze aan risicomanagement doen, met vinkjes, protocollen en dikke handboeken. Maar het is geen doel, het is een middel om te helpen doelen te realiseren, ondanks onzekerheid. Er moet balans zijn tussen de juiste hoeveelheid regels en procedures en de juiste speelruimte aan de professionals om daar hun eigen invulling aan te geven. Dat vraagt vertrouwen van organisaties en dat hoort bij het moderne risicomanagement.’
‘Als je binnen organisaties te veel wordt afgerekend op het voldoen aan regels, dan kan er een angstcultuur ontstaan, of er komen andere negatieve effecten. Stel dat je zegt dat de regel is dat je elke maand 10 acquisitiegesprekken moet voeren, de KPI is dus 10, maar je doet er 8, die heel goed zijn, in plaats van 10 die niet goed zijn. Dan komt er een sanctie. Dan gaat het niet om de bedoeling, maar om de regel.’
De Big Five van Risicogevolgen
‘Ik heb het vaak over de Big Five van risicogevolgen. Het gaat dan om:
- Kosten (Het wordt te duur)
- Tijd (Een bouwproject of ICT-project duurt veel langer)
- Kwaliteit (bijvoorbeeld een terugroepactie)
- Veiligheid (fysieke en sociale veiligheid van mensen)
- Reputatie (verlies van reputatie als een risico optreedt).
En als je deze vijf bij elkaar optelt, heb je eigenlijk een organisatie. Kosten horen bij de financiële afdeling, tijd bij de planning, kwaliteit bij de kwaliteitsafdeling, veiligheid bij arbo of HRM, en reputatie bij de communicatieafdeling. Dus als je tot een goede afweging van een risico wilt komen, moet je een saté-pen door de organisatie steken en met al die partijen om de tafel. Om zo tot een gewogen besluit over al dan geen risicobeheersmaatregelen te komen. Om het wel werkbaar te houden geldt dit natuurlijk alleen voor de echt relevante risico’s voor de organisatie.’
Iedereen verantwoordelijk voor risicomanagement
‘In mijn visie is iedereen binnen een organisatie die verantwoordelijk is voor een doel, ook verantwoordelijk voor de bijbehorende risico’s, dus ook voor risicomanagement. Maar dat vraagt wel wat van de organisatie. Het moet bijvoorbeeld niet zo zijn dat bij het geven van tegenspraak vanuit een andere risicoperceptie personen het idee hebben dat dan gelijk “hun kop eraf gaat”. En die open cultuur is er niet overal. Het is natuurlijk heel tragisch dat er veel klokkenluiders zijn waarmee het slecht afloopt. Klokkenluiden is eigenlijk een extreme vorm van risicomanagement: luid aan de bel trekken, omdat er iets fundamenteel mis is, met grote risico’s voor de organisatie. Naar mijn idee zou je in de ideale risicogestuurde organisatie geen klokkenluiders nodig hebben, omdat er al in een veel eerder stadium bepaalde zaken aan de orde zijn gekomen en er ook al is ingegrepen.’
‘Het hebben van een risicomanager is eigenlijk een vorm van onteigenen’
Voor goed risicomanagement heb je dus een open organisatiecultuur nodig waarin mensen zich durven uit te spreken. ‘De sociale veiligheid is van groot belang’, beaamt Van Staveren. ‘Mensen moeten het met elkaar oneens kunnen zijn. En uiteindelijk nemen we dan wél een besluit, want het moet ook niet zo zijn dat iedereen het alleen maar lekker met elkaar oneens is. Eén van de kenmerken van risicogestuurd werken die ik altijd gebruik sluit daarbij aan: Eigenaarschap. Want het hebben van een risicomanager is eigenlijk een vorm van onteigenen, de risicomanager lost het wel op. Iedereen die een doel heeft en die daarvoor verantwoordelijk is, is ook verantwoordelijk voor het omgaan met de onzekerheden en risico’s die bij het halen van dat doel horen.’
Leestip: Risicogestuurd auditen heeft écht toegevoegde waarde
Innovatie en risicomanagement
‘Innovatie is per definitie onzeker. Je moet dus goed kijken welke risico’s er aan zitten, of je de onzekerheden tijdig kunt beheersen. Dan kun je dus juist heel slim innoveren en ook tijdig ontdekken of je wel of niet op een doodlopend spoor zit. En ook hier: innovatie is geen doel op zich. Het gaat om het achterliggende doel: iets slimmer maken, mooier maken, beter maken. Innovatiemanagement en risicomanagement zitten dus heel dicht bij elkaar, het zijn twee kanten van een medaille. Maar klassiek risicomanagement: de hakken in het zand, vingertje omhoog en alles willen beheersen staat haaks op innoveren en risico nemen. Kies daarom voor de moderne variant van risicomanagement: een goede balans vinden tussen klassiek risico beheersen, risico’s accepteren en heel doelbewust risico’s nemen om ambities te realiseren.’
Risicomanagementtips van Martin van Staveren voor elke manager:
- Heb je doelen scherp
- Bepaal met het team de risico’s en kansen
- Bepaal hoe groot de kans is dat die kansen en risico’s optreden
- Besluit aan welke risico’s je wat wilt doen
- Als je wat gaat doen: wie kan je helpen van de afdeling, of op een ander niveau in het bedrijf?
- Benut je normale processen om te zien of het werkt
Martin van Staveren is adviseur/eigenaar van VSRM en adviseert organisaties over effectiever omgaan met risico’s en onderliggende onzekerheden. Hij is ook kerndocent aan de postacademische masteropleidingen Risicomanagement en Public Management, Universiteit Twente. Hij is auteur van Risicogestuurd werken in de praktijk. Hij is nu bezig met zijn volgende boek.
Leestip: Download hier de gratis whitepaper van Martin van Staveren:
Risico is geen probleem met Risicogestuurd werken >>>