In de nieuwe norm ISO 9001 is risicomanagement expliciet opgenomen als normeis. Organisaties moeten een extra inspanning leveren om daar invulling aan te geven. In dit artikel combineren de auteurs inzichten van kwaliteitsmanagement, risicomanagement én prestatie management tot een nieuw model dat aansluit bij het gedachtegoed van ISO 9001:2015.
Kwaliteitsmanagement en risicomanagement zijn onlosmakelijk met elkaar verbonden. Hoewel van grote strategische waarde, is het voor beide disciplines moeilijk om de noodzakelijke aandacht van het topmanagement te krijgen. Met de komst van de nieuwe versie van ISO 9001 in 2015 wordt kwaliteitsmanagement steeds meer gedwongen riskbased te denken. Zo vereist de herziene norm dat organisaties de context bepalen, oftewel de interne en externe factoren (risico’s) die effect hebben op het behalen van de doelen die met het managementsysteem worden beoogd. Ook dienen organisaties acties uit te voeren om risico’s en kansen aan te pakken. Uitgangspunt bij de nieuwe structuur is dat deze beter aansluit bij de governance van de organisatie. Het topmanagement is verantwoordelijk voor een koppeling tussen de governance van de organisatie en de managementsysteemeisen van de gewone bedrijfsvoering.
Risicomanagement kan handvatten bieden om invulling te geven aan de vereiste risicosturing van ISO 9001 en vooral de High Level Structure (HLS). Met risicomanagement heeft de kwaliteitsmanager een middel in handen om prioriteiten te stellen en om kwaliteitsmanagement op de agenda van het management te krijgen door de koppeling aan de doelstellingen van de organisatie.
Met risicomanagement heeft de kwaliteitsmanager een middel in handen om prioriteiten te stellen.
Drie risico-ontwikkelingen
Op het gebied van risicomanagement is er een aantal ontwikkelingen gaande die het onderwerp steeds hoger op de agenda zetten. Ze vereisen integratie van kwaliteits- met risicomanagement en verdere professionalisering. Met name drie ontwikkelingen vragen de aandacht.Â
- Disruptie
Een bank ondervindt niet alleen meer concurrentie van andere banken, maar wordt ook geraakt door nieuwe ontwikkelingen zoals Apple Pay, financieringen via LinkedIn of andere platformen. 70 tot 80 procent van het huidige type banen zal naar verwachting in de komende twintig jaar verdwijnen. Door externe, technologische ontwikkelingen, grotere netwerken en demografische ontwikkelingen staan steeds meer bedrijfsmodellen onder druk. In deze ‘disruptieve tijd’ en door wankelende bedrijfsmodellen zijn steeds meer organisaties bezig met vooruitkijken en hanteren ze structureel risicomanagement als basisinput bij het bepalen van de bedrijfsstrategie. Deze organisaties willen weerbaar zijn en in staat zijn om snel in te spelen op nieuwe ontwikkelingen. Risicomanagement is daarmee intrinsiek geworden, in plaats van het vinkje voor de accountant.Â
-
Governancecode
Het voorstel voor de nieuwe governancecode (commissie Van Manen) vraagt steeds duidelijker om een risicoanalyse, een aantoonbaar werkend risicobeheersinstrumentarium en een risk appetite statement van de directie. Met risk appetite wordt bedoeld hoeveel risico’s de directie wenst te nemen bij het behalen van de strategische doelstellingen. Daarnaast is er de verantwoordelijkheid voor het creëren van een cultuur waarin signalen en incidenten worden gemeld.Â
-
Kaplan: drie soorten risico
Een bewezen risicomanagementmethode is de strategiekaart. Strategiekaarten zijn diagrammen die beschrijven hoe een organisatie waarde kan creëren, door expliciet strategische doelstellingen met oorzaak- en effectrelaties met elkaar te verbinden (Kaplan en Norton). Deze methodiek stamt uit 2004. Een aantal jaren later heeft Kaplan erkend dat hij het risicodenken onvoldoende heeft meegenomen in zijn methodieken. Daarom schreef hij in 2012, samen met Annette Mikes, het artikel ‘Managing Risks – A new Framework’. In dit artikel zet Kaplan drie soorten risico’s uiteen: te voorkomen, strategische en externe. Hij maakt dit onderscheid omdat de wijze van beheersing verschilt. Deze indeling is ook voor kwaliteitsmanagement zeer goed bruikbaar.Â
Bij te voorkomen risico’s gaat het om de kernprocessen. Hierbij is het van belang dat de organisatie deze zo betrouwbaar mogelijk maakt. Kwaliteitsmanagement heeft hier bij uitstek toegevoegde waarde als aantoonbare risicobeheersmaatregel. Wellicht zou wel meer aangehaakt kunnen worden bij incidentenmanagement. Aangezien incidenten, fouten en risico’s melden geen natuurlijke menselijke eigenschap is, dient het proces hierover scherp bewaakt te worden. De uitspraak ‘geen nieuws is goed nieuws’ gaat hier niet meer op. Welke signalen komen er uit de organisatie, is er een cultuur die het mogelijk maakt ze te melden?
Bij strategische risico’s kan vanuit kwaliteitsmanagement stevige aandacht worden gegeven aan de besluitvormingsprocessen. Zijn daarbij de verschillende risico-elementen meegenomen, is er tegenspraak georganiseerd, hoe is de kwaliteit van de governance? In risicostrategiekaarten worden de doelstellingen en de kritieke succesfactoren gekoppeld aan de belangrijkste risico’s.
Voor de externe risico’s (toeleveranciers, stakeholders, nieuwe technologische ontwikkelingen) dienen scenario’s te worden ontwikkeld en kan er met risk indicators worden gewerkt. Zo zijn wisselingen in de top van een leverancier, zeker qua financiële positie, vaak een signaal dat het niet goed gaat.
De waarde van het model van Kaplan is dat risicomanagement uit de pure ‘control’ hoek wordt gehaald. Strategische risico’s zijn de belangrijkste oorzaak voor waardedaling van organisaties. De afdeling ‘audit en risicomanagement’, veelal verantwoordelijk voor risicomanagement, besteedt maar 6% van haar tijd aan het beheersen van dit type risico’s, blijkt uit onderzoek van CEB Global Bron. Kaplan pleit voor het faciliteren van een strategische dialoog (in plaats van lijstjes en regels). Hierdoor is risicomanagement voor het management beter te behappen en minder administratief.Â
ISO 9001:2015 – High Level Structure
De nieuwe norm ISO 9001:2015 maakt eens te meer duidelijk dat in kwaliteitsmanagement het risicodenken niet mag ontbreken. Risicomanagement is nu opgenomen als normeis en dit betekent voor veel organisaties een extra inspanning. Van belang is dat risicomanagement wordt omarmd, ‘in de genen’ gaat zitten en integraal onderdeel wordt van de bedrijfsvoering.
Figuur 1 laat zien dat in de High Level Structure twee managementniveaus met ieder een eigen PDCA-cyclus zijn te onderscheiden: het strategisch niveau en het operationeel niveau (ISO, 2015). De koppeling tussen beide vindt plaats:
– door input vanuit de strategische (context)analyse naar de beoordeling van de operationele risicobeoordeling;
– door de lijn van (strategisch) beleid naar operationele doelstellingen en actieplannen;
– door de terugkoppeling van resultaten van monitoringactiviteiten en interne audits als input voor de directiebeoordeling.
Het is een mooi model, maar in de praktijk lopen organisaties tegen deze problemen aan:
– kwaliteitsmanagement en risicomanagement leven niet;
– in de PDCA-cyclus wordt de verbinding niet gemaakt tussen Act-Plan;
– het prestatiemanagement leidt tot ‘stoplichtenmanagement’: als alles maar op groen staat zijn wij goed bezig.
Deze problemen zijn deels toe te schrijven aan het feit dat de drie vakgebieden risicomanagement, kwaliteitsmanagement en prestatiemanagement afzonderlijk van elkaar worden aangepakt en ingericht.
Nieuw model: risicogebaseerd kwaliteitsmanagement
Wij presenteren een nieuw model waarin inzichten uit kwaliteitsmanagement, risicomanagement én prestatiemanagement worden gecombineerd. De aanpak sluit goed aan bij het gedachtegoed van ISO 9001:2015. Door de koppeling met kwaliteitsmanagement, in combinatie met het analyseren van strategische en externe risico’s, en het monitoren van de voortgang met prestatie-indicatoren, wordt toegevoegde waarde gecreëerd. De prestatiecyclus gaat over de kwaliteit van de organisatie en kan worden gezien als de gebruikelijke PDCA-cyclus. Het plan wordt opgesteld en uitgevoerd, de voortgang wordt bewaakt en er worden verbeter acties en maatregelen getroffen. Maar hóe de verbeteracties en maatregelen het plan kunnen bijsturen, is voor veel organisaties een lastige opgave.
De prestatiecyclus moet daarom worden gecompleteerd met een strategische cyclus. En hier bieden inzichten vanuit het vakgebied risicomanagement uitkomst.
In de prestatiecyclus wordt continu de vraag gesteld: doen wij de dingen goed? In de strategische cyclus wordt de vraag gesteld: doen wij de goede dingen?
Externe en interne signalen moeten sneller hun weg vinden naar de beslissers. Organisaties dienen dan ook vaker dan eens in de vier jaar hun strategie te herzien.
De signalen van medewerkers verzamelen, bundelen en analyseren, gebeurt in de strategische cyclus. De prestatiecyclus geeft antwoord op de vraag: zijn wij in staat om te leren en te verbeteren? In de prestatiecyclus vullen inzichten vanuit kwaliteitsmanagement, risicomanagement en prestatiemanagement elkaar aan. Kwalitatief hoogwaardige producten, sublieme dienstverlening, excellerende medewerkers; er wordt structureel en integraal aan gewerkt. Grofweg kun je stellen dat de strategische cyclus jaarlijks wordt doorlopen en de prestatiecyclus in feite continu. Het model bestaat uit een aantal stappen.
Stap 1: Risk appetite
Organisaties die denken vanuit hun missie, visie en kernwaarden weten wat ze belangrijk vinden en waar ze voor staan. Nadenken over de bereidheid tot het nemen van risico’s is daar een onderdeel van, we noemen dit ‘risk appetite’. Het voorstel voor de nieuwe governancecode (commissie Van Manen) vraagt steeds duidelijker een risicoanalyse, een aantoonbaar werkend risicobeheerinstrumentarium en een risk appetite statement van de directie. Daar naast is er de verantwoordelijkheid voor het creëren van een cultuur waarin incidenten worden gemeld.
Risk appetite is, in onze optiek, niet hard kwantificeerbaar. Het gaat meer om kwalitatieve uitspraken over de bereidheid tot het nemen van risico’s, over de speelruimte die de organisatie krijgt. Risk appetite is een kwalitatieve uitspraak die je doet per doelstelling. Een woningcorporatie kan van mening zijn dat op het terrein van betaalbaarheid risico’s niet acceptabel zijn, terwijl op het gebied van duurzaamheid en innovatie het nemen van risico’s juist wordt gestimuleerd.
Stap 2: Omgevingsanalyse
Jaarlijks de interne en externe omgeving analyseren is nodig om de organisatie te blijven begrijpen en een goed gevoel te krijgen bij de dingen die je doet. Een SWOT- of PEST-analyse kan hierbij helpen. Veranderingen in de maatschappij, in weten regelgeving en de onzekerheid vanuit de politiek, leveranciers en de markt kunnen risico’s met zich mee brengen voor de ambities van de organisatie. Daarnaast is het zinvol om te blijven analyseren wat dat betekent voor de interne organisatie, voor de operationele activiteiten, financiën, kwaliteit van informatie en ontwikkeling van medewerkers.
De omgevingsanalyse moet de externe risico’s blootleggen. Deze risico’s hebben mogelijk een grote impact en zijn, aan de voorkant, beperkt beïnvloedbaar door de organisatie. Voor de externe risico’s (toeleveranciers, stakeholders, nieuwe technologische ontwikkelingen) dienen scenario’s te worden ontwikkeld en kan er met risk indicators worden gewerkt. Zo zijn wisselingen in de top van een leverancier, zeker qua financiële positie, vaak een signaal dat het niet goed gaat. De strategie is doorgaans het antwoord op externe risico’s. Een dergelijke analyse kan dienen als input voor het beleidsplan, het strategisch jaarplan, enzovoort.
Stap 3: Strategiebepaling
Strategie is in feite niets anders dan kunnen uitleggen: ‘wat doen we wel en wat doen we niet’. Echt begrijpen waarom iets wel of niet wordt gedaan, klinkt eenvoudiger dan het is. Hier is een belangrijke rol weggelegd voor de bestuurder(s). Nadenken over de externe risico’s kan helpen bij de beslissing waarom iets wel of niet wordt gedaan. Dat is risicobewuste afwegingen maken, ofwel risk based governance. In deze stap wordt de strategie op hoofdlijnen vastgesteld. Voor de meeste organisaties betekent dat mogelijke, kleine aanpassingen doen, grote wijzigingen zijn zeker niet jaarlijks te verwachten. Een paraplustrategie, waarin op hoofdlijnen wordt aangegeven wat de koers is, kan hierbij van nut zijn.
Het tegen het licht houden van het businessmodel of de overkoepelende strategiekaart is een goede methodiek. Steeds meer organisaties stappen hierbij af van het schrijven van lange lappen tekst en maken gebruik van methoden om de strategie te visualiseren. Het is gebleken dat dit bestuurders helpt om, intern en extern, uit te dragen waar de organisatie voor staat en naar streeft.
Stap 4: Strategische risicoanalyse
Ambities bepalen is mooi, maar het mag niet een te rooskleurig verhaal worden. Het afwegen van risico’s die hier direct mee samenhangen, is een belangrijke stap die te vaak wordt overgeslagen. Het analyseren van welke risico’s direct samenhangen met de strategie is een hulpmiddel om bewust risico’s te nemen of te vermijden. De speelruimte vanuit risk appetite biedt hier ook uitkomst. Strategische risico’s zijn goed beïnvloedbaar door de organisatie en kunnen een grote impact hebben op de strategie. Wij zien organisaties die voor deze risico’s een risico-eigenaar benoemen, de risico’s opnemen in de kwartaalrapportage en daarmee een vaste plaats geven in de aansturing van de organisatie. Wij hebben veel positieve ervaringen met de strategiekaartmethodiek die als communicatie-instrument wordt gebruikt zowel richting medewerkers, als richting externe belanghebbenden, zoals de gemeente of toezichthouder.
Stap 5: Operationalisering strategie
Bestuurders bedenken de doelen, maar de andere medewerkers voeren deze uit. Een uitwerking van de mooie ambities naar concrete activiteiten is waar het in veel organisaties spaak loopt: medewerkers kennen de strategie niet; snappen niet hoe zij eraan bijdragen; MT’s spenderen minder dan één uur per maand aan strategie. In managementtaal wordt het begrip alignment gebruikt om de paraplustrategie uit te werken in activiteiten voor afdelingen. Als het strategisch jaarplan wordt uitgewerkt in afdelings- en teamplannen, is dat een vorm van alignment. Wat daarnaast moet gebeuren is dat wordt bepaald hoe er enigszins meetbaar grip wordt gehouden op de voortgang van de ambities. Het bepalen van de kritieke prestatie-Indicatoren (KPI’s) biedt uitkomst.
Voor het formuleren van KPI’s hanteren wij een aantal eisen:
– het zegt iets over doelstellingen;
– de metingen zijn simpel uit te voeren;
– er ontstaat inzicht in trends;
– de scores zijn beïnvloedbaar door de betrokkenen;
– de indicatoren worden als motiverend beschouwd en zetten aan tot actie;
– nadruk ligt op de belangrijkste indicatoren (vermijd dat er te veel indicatoren worden gebruikt);
– de afdeling bepaalt de indicatoren.
Stap 6: Uitvoering plannen
Aan de slag. Medewerkers begrijpen hoe hun werk bijdraagt aan het grote geheel. De voortgang wordt wekelijks besproken. Een mooi voorbeeld is de zogenoemde visual factory van Lego. De speelgoedfabrikant besloot dat voortgangsmetingen meer impact zullen hebben als de voortgang in de fabrieken wekelijks door de leidinggevende op een whiteboard werd geschreven – met een groene of een rode stift.
Zij zijn afgestapt van het rapporteren van de voortgang in rapportages die zijn voorbereid door kantoormedewerkers. Wanneer het team bij elkaar staat en de resultaten worden opgeschreven in rood, dan weten de medewerkers meteen dat iets moet veranderen. Ze gaan direct met elkaar nadenken over verbeteringen en het versterkt het teamgevoel.
Stap 7: Bewaken voortgang, kwaliteit en risico’s
Bij het bewaken van de voortgang, de kwaliteit en de risico’s komt een aantal dingen samen:
– het melden van incidenten kan helpen om te leren en te verbeteren;
– (willen we) voldoen aan alle wet- en regelgeving?
– audits uitvoeren;
– dashboard inrichten om de KPI’s te monitoren;
– het analyseren van de te voorkomen risico’s.
Stap 8: Bijsturen activiteiten
Bevindingen moeten worden opgevolgd. Er moet van worden geleerd en het is nuttige informatie om de organisatie te verbeteren. Naast harde informatie is het ophalen van signalen van medewerkers ook belangrijk. Als leidinggevende is het de kunst om bruikbare signalen te onderscheiden van ‘ruis’.
Strategie en risico’s zijn geen agendapunten, ze zÃjn de agenda.
De prestatie- en risicodialoog
Een belangrijke oorzaak voor het wegebben van de aandacht voor risicomanagement, is het ontbreken van een expliciete koppeling tussen strategie en de risico’s van een organisatie. Door deze ontbrekende koppeling wordt risicomanagement een doel op zich, boet het aan relevantie in en wordt het eerder als afleidend ervaren dan als een waardevol instrument dat bijdraagt aan de vooruitgang van de organisatie. Door risicobeheersing direct deel te laten uitmaken van het prestatiemanagement van de organisatie, ontstaat een platform dat de organisatie houvast biedt bij het nemen van strategische beslissingen die bijdragen aan het grote geheel. Strategie en risico’s zijn geen agendapunten, ze zÃjn de agenda.
Literatuur
Kaplan, R.S. en A. Mikes (2012) Managing Risks: A New Framework, Harvard Business Review.
Robert ‘t Hart is Managing Partner van het Nederlands Adviesbureau Risicomanagement. Robert.t.hart@risicomanagement.nl
Hans van Emmerik is consultant bij het Nederlands Adviesbureau Risicomanagement. H.vanemmerik@risicomanagement.nl
Bron: Sigma, nr. 3, juni 2016
