Modern risicomanagement heeft nog steeds vier klassieke valkuilen. Die zijn niet nieuw, maar wel actueel. Fascinerend, hoe velen – inhoudelijke professionals, leidinggevenden, adviseurs én zelfs risicomanagers – er steeds weer met open ogen en de beste bedoelingen invallen. Wat zijn die vier valkuilen? Het gaat om complexiteit, getallen, illusie en niets dóen. Zijn ze te vermijden? Jazeker: door deze valkuilen te herkennen, te erkennen en er tijdig voor stil te staan. Dat laatste vanuit een prikkelende vraag. Dit blog gaat over de vierde valkuil: niets dóen.
Dat in toom houden van risico’s, dat vraagt wel om meer dan de lijst met risico: het risicodossier. Risico’s zijn daarin geïdentificeerd en geclassificeerd. Als het goed is, dan is elk risico gekoppeld aan een doel, taak of eis. Alleen, wordt er ook iets gedaan met zo’n risicoanalyse? Het opschrijven van maatregelen is een prima start, maar volstrekt onvoldoende. Immers, het gaat om het uitvoeren van die maatregelen. Althans, indien daarvoor expliciet is gekozen, wat lang niet altijd een (wettelijke) verplichting is. Vervolgens genereer je pas écht waarde door af en toe na te gaan of die genomen maatregelen wel werken. Is aannemelijk te maken dat ze de beoogde effecten hebben? Dat ze bijvoorbeeld daadwerkelijk de kans van optreden van een risico verminderen, of de effecten ervan verzachten? Waar blijkt dat uit? Op dergelijke vragen volgt nogal eens een ongemakkelijke stilte. Probeer het maar eens uit.Hoe deze valkuil te vermijden?
Hoe de niets dóen-valkuil te vermijden? Gewoon, door te doen, door in actie te komen, te handelen, of hoe je dat ook wilt noemen. Als inderdaad besloten is om iets aan een risico te doen, dóe dat dan ook. Heb die discipline, toon die daadkracht of executiekracht. Alleen zo krijgt de papieren tijger tanden. Wat hierbij handig is: borg elke maatregel in werkwijzen, processen, activiteiten, of wat dan ook, die er toch al zijn. Benoem dat expliciet in het risicodossier. Dit in plaats van aparte risico-actielijsten, waar – paradoxaal – vaak geen tijd voor wordt vrij gemaakt. Bijvoorbeeld vanwege het te druk zijn met “brandjes blussen”, vanwege opgetreden (vermijdbare) risico’s. Dus doe iets aan de risico’s, als daartoe besloten is, en combineer dat met wat je toch al doet. En vergeet niet dat een risico ook geaccepteerd of bewust genomen kan worden, om een mooi doel te kunnen realiseren. Ga vervolgens periodiek na of aannemelijk is te maken dat de getroffen maatregelen werken. Waar blijkt dat uit? Hoe hard is dat te maken? Is het twijfelachtig, durf een maatregel dan eens een paar maanden te stoppen. Wat gebeurt er dan? Misschien wel niets. Natuurlijk is dit niet voor elk type risico aan te raden. Maar de gedachte alleen al is spannend. Wat zegt dit over de risicobereidheid in de organisatie?Stilstaan
Tot slot, hoe weet je nu of je deze valkuil daadwerkelijk hebt vermeden? Door af en toe stil te staan, en jezelf, je team, je collega’s een prikkelende vraag te stellen:- Doen we wel écht wat we hebben besloten, over omgaan met risico’s?
De andere drie valkuilen van risicomanagement:
- Complexiteit, de eerste valkuil van risicomanagement
- Getallen, de tweede valkuil van risicomanagement
- Een illusie, de derde valkuil van risicomanagement