In de huidige ISO-normen en in de dagelijkse kwaliteitspraktijk spelen zowel risico als leiderschap een belangrijke rol. Hoe zit dat eigenlijk met de combinatie van beide begrippen: ‘risicoleiderschap’?
Conventionele vormen van management hebben het momenteel lastig. Dit heeft veel te maken met de huidige onzekere en dynamische omgeving, waarbinnen veel organisaties hun vaak ambitieuze doelen moeten zien te realiseren. Met ‘conventioneel’ bedoel ik het gangbare, instrumentele en vooral op beheersing gerichte managen, dat wordt ‘gefaciliteerd’ door allerlei soorten managers, zoals kwaliteitsmanagers en risicomanagers.
Een gebrek aan en een teveel van
Dergelijke vormen van management hebben een gebrek en een teveel: een gebrek aan meerwaarde en een teveel aan bureaucratie.
Wat betreft het gebrek: voor het vakgebied risicomanagement is de evidence in de praktijk per definitie lastig. Bij risicomanagement draait het immers om onzekerheid. Is een (kwaliteits)risico dankzij of ondanks risicomanagement (niet) opgetreden? Vaak is deze vraag lastig te beantwoorden. Bovendien zijn er nauwelijks studies die de meerwaarde van risicomanagement overtuigend aantonen. Een paar jaar terug heeft Kees Ahaus overigens een dergelijke bewering gedaan, op basis van zijn terugblik op 25 jaar kwaliteitsmanagement (Sigma, 2015).
Is een (kwaliteits)risico dankzij of ondanks risicomanagement (niet) opgetreden? Die vraag is vaak lastig te beantwoorden.
Wat betreft het teveel: een overdaad aan bureaucratie manifesteert zich in de vorm van procedures, protocollen, monitoring en doorgeschoten verantwoordingsdrift. Dit belemmert veel professionals in het doen van hun dagelijkse werk, bijvoorbeeld in sectoren als de (thuis)zorg en het onderwijs. Bureaucratie, ooit met de beste bedoelingen gecreëerd, gaat inmiddels – paradoxaal – juist ten koste van het verlenen van goede zorg en goed onderwijs. Tijd die aan registratie en verantwoording opgaat, kan immers niet worden besteed aan zorg voor de patiënt of aandacht voor de leerling.
Principes
Het goede nieuws is dat er positieve veranderingen aan de gang zijn. Zo zijn recente governancecodes gebaseerd op principes, evenals de ISO 31000-richtlijn voor risicomanagement. Principes geven ruimte voor een eigen invulling, voor maatwerk. Governance en risicomanagement kunnen vanuit die principes worden afgestemd op de behoefte van de organisatie en de stakeholders.
Een andere positieve ontwikkeling is dat alle ISO-normen risicogebaseerd zijn of worden. Dit betekent dat op basis van risico’s, en hun positieve keerzijde, kansen kunnen worden geprioriteerd waar wel of geen tijd en energie in worden gestoken. Ook al blijft de meerwaarde lastig, in elk geval kan met een dergelijke benadering goed worden uitgelegd wat er aan kwaliteits- en risicomanagement wordt gedaan, wat niet, voor wie en waarom.
Dit artikel richt zich op het effectief kunnen omgaan met risico’s in de ‘nieuwe ISO’s’. De recente ISO-normen hebben allemaal dezelfde structuur met risicofocus. We verkennen daarom een nieuw en essentieel begrip voor risicogestuurd kwaliteitsmanagement: risicoleiderschap.
Risicogebaseerd
Twee pijlers onder de nieuwe ISO’s zijn opmerkelijk: het feit dat alle ISO-normen en -richtlijnen risicogebaseerd zijn of worden, en dat ze allemaal dezelfde structuur hebben of krijgen. Wat betekent ‘risicogebaseerd’? ISO 9001 gaat uit van een procesbenadering. Hierbij kun je denken aan allerlei soorten processen: productieprocessen, administratieve processen enzovoort. Onderling samenhangende processen in de organisatie vormen samen een systeem. Voor het managen van de kwaliteit van dit systeem wordt gebruik gemaakt van de bekende PDCA-cyclus van Deming. De focus ligt hierbij op risicogebaseerd denken.
Dergelijk denken, en natuurlijk ook handelen, heeft als doel het voorkomen van ongewenste resultaten door opgetreden risico’s in de relevante processen. Overigens, ook de andere kant van omgaan met onzekerheid hoort erbij: het benutten van kansen. Risico’s en kansen kunnen ontstaan in de processen zelf of in de context waarin die processen plaatsvinden.
Risico’s en kansen kunnen ontstaan in de processen zelf of in de context waarin die processen plaatsvinden.
Zowel risico’s als kansen komen uit een en dezelfde bron: de bron van onzekerheid. De risicodefinitie van ISO sluit hier naadloos op aan: risico is het effect van onzekerheid op doelen. Een kwaliteitsrisico is volgens deze definitie dus het effect van onzekerheid op een kwaliteitsdoel. Hierbij kunnen de effecten van onzekerheid negatief zijn, in de klassieke risicobetekenis, maar ook positief in de zin van kansen, mogelijkheden of opportunities. De risicobenadering is dus een van de pijlers van de nieuwe ISO’s. Dit feit maakte de lancering van deze nieuwe norm op 6 oktober 2015 tot een memorabele dag: kwaliteitsmanagement en risicomanagement zijn sindsdien onlosmakelijk met elkaar verbonden.
Leiderschap
Dan nu de tweede pijler van de nieuwe ISO-normen: de High Level Structure (HLS), een standaard hoofdstukindeling. In de HLS is een belangrijke rol voor leiderschap weggelegd: per norm is in het hoofdstuk Leiderschap aangegeven wat leiderschap zou moeten zijn. Hoe dat moet, valt buiten de scope van normen. Daarover straks meer.
Voorafgaand aan de hoofdstukken Planning, Uitvoering, Evaluatie en Verbetering – we herkennen hier de PDCA-cyclus – is er een opvallend hoofdstuk in de ISO-normen: Leiderschap. Dit hoofdstuk bevat onderwerpen als leiderschap, betrokkenheid, beleid, rollen, verantwoordelijkheden en bevoegdheden. De directie is hierin steeds leidend. Directieleden moeten leiderschap en betrokkenheid tonen met betrekking tot het kwaliteitsmanagementsysteem, bijvoorbeeld door de kwaliteitsdoelen vast te stellen. Ook moet de directie het kwaliteitsbeleid vaststellen en implementeren, evenals het toekennen van rollen, verantwoordelijkheden en bevoegdheden.
Eerst nóg iets over leiderschap. Dat staat namelijk letterlijk centraal in het risicomanagementraamwerk van de herziene ISO 31000 Risk management – guidelines uit 2018 (alleen nog in het Engels beschikbaar). Paragraaf 5.2 in deze richtlijn gaat over leiderschap, dat overigens net als in ISO 9001 door het topmanagement moet worden (uit)gedragen. Het tonen van leiderschap volgens ISO 31000 betekent onder meer het op maat maken en implementeren van het risicomanagementraamwerk, evenals het toekennen van verantwoordelijkheden en bevoegdheden voor risicomanagement.
Risicoleiderschap
We kunnen nu dus concluderen dat ‘risico’ en ‘leiderschap’ twee fundamentele begrippen zijn in alle nieuwe ISO’s – en binnen afzienbare tijd in alle ISO-normen en -richtlijnen. Daarbij staat leiderschap letterlijk centraal in het risicomanagementraamwerk van de ISO 31000-richtlijn voor risicomanagement. Hoe zit het dan met de combinatie van deze twee begrippen: risicoleiderschap? Dit verkennen we via de essentie van risicomanagement: risicogestuurd werken.
Risicogestuurd werken
In de inleiding is het al aangegeven: conventioneel management heeft het moeilijk en dit geldt temeer voor risicomanagement. Voor mij was dit enkele jaren terug de aanleiding om een alternatief te ontwikkelen: risicogestuurd werken, afgekort risicosturing. Dit is een terug-naar-de-essentie vorm van risicomanagement. Risicosturing is niets anders dan het toepassen van zes generieke risicoprocesstappen in de relevante bestaande werkprocessen. Die processen kunnen zo risicogestuurd worden uitgevoerd. De zes risicostappen zijn het resultaat van het filteren van alle gangbare methoden voor risicomanagement op de essenties, inclusief de herziene ISO 31000 richtlijn uit 2018 en het herziene COSO risicomanagementraamwerk uit 2017. Een voorbeeld van een proces waarin deze zes stappen naadloos passen is de al genoemde PDCA-cyclus. Hoe mooi valt dit alles samen. Figuur 1 presenteert de zes generieke risicoprocesstappen in de PDCA-cyclus.
Accentverschillen tussen conventioneel risicomanagement en risicogestuurd werken
Wat zijn nu de verschillen tussen conventioneel risicomanagement en risicogestuurd werken?
Gangbaar risicomanagement legt, als kloon van Taylors scientific management, de nadruk op systemen, planning, controle, beheersbaarheid en daarmee de illusie van onbegrensde maakbaarheid van organisaties.
Risicogestuurd werken legt juist meer nadruk op mens, organisatiecultuur, flexibiliteit, leren, aanpassingsvermogen en de realiteit van begrensde maakbaarheid.
Het is overigens niet zozeer een kwestie van of het een of het ander. Het is vooral een kwestie van wat minder accent leggen op kenmerken van het conventionele risicomanagement en wat meer accent leggen op kenmerken van risicogestuurd werken.
Figuur 2 is een bewerkte en aangevulde versie van een figuur uit het boek Verdraaide Organisaties van Wouter Hart. De figuur bevat twintig kenmerken van conventioneel risicomanagement ten opzichte van die van vernieuwend risicogestuurd werken. De volgorde van de kenmerken is willekeurig; kenmerk nr. 1 is niet belangrijker dan kenmerk nr. 20.
Het aanbrengen van enkele andere accenten kan al een behoorlijk verschil maken in de wijze waarop risicomanagement wordt uitgevoerd. Neem bijvoorbeeld het accentverschil van kenmerk 2, van één doel richting enkele doelen. Hiermee wordt duidelijk dat naast een kwaliteitsdoel altijd enkele andere doelen staan. Dit zijn bijvoorbeeld winstgevendheid of gebruiksvriendelijkheid. De illusie van volledige focus op ‘100 % kwaliteit’, tegen elke prijs, wordt hiermee doorgeprikt.
Het accentverschil van kenmerk 6, van onteigenen naar eigenaarschap, betekent dat iedereen in de organisatie met een (kwaliteits)doel ook verantwoordelijk is voor het effectief omgaan met de bijbehorende onzekerheden: de risico’s én kansen. Zo wordt risicomanagement een integraal onderdeel van dagelijkse werkprocessen, in plaats van apart gezet in een speciale afdeling met dito managers en medewerkers. Op deze manier faciliteren kwaliteits- en risicomanagers het omgaan met kwaliteitsrisico’s, in plaats van ze zelf te managen. Dit vormt een stevige brug naar het volgende onderwerp: risicoleiderschap.
Risicoleiderschap
Wat betekent nu die combinatie van ‘risico’ en ‘leiderschap’, die samen riscoleiderschap vormen? Risicoleiderschap is het willen en kunnen toepassen van een of meer kenmerken van risicogestuurd werken, om daarmee doelen te realiseren, ondanks onzekerheden, risico’s en kansen. Dit kunnen kwaliteitsdoelen zijn of andersoortige doelen.
Een risicoleider kán een formele leidinggevende zijn, maar dat hoeft helemaal niet. Ook een kwaliteitsmanager kan risicoleider worden.
Een risicoleider kán een formeel leidinggevende zijn, maar dat hoeft helemaal niet. Opvallend is dat in de nieuwe ISO’s (alleen) directie en topmanagement op leiderschap worden aangesproken, ofwel de (hogere) formeel leidinggevenden. Voor risicoleiderschap ligt dat anders. Ook informele leiders in een organisatie kunnen immers leiderschap tonen, bijvoorbeeld door initiatief te nemen, richting te geven en personen aan te spreken op onacceptabel gedrag. Ook informele leiders, eigenlijk iedereen in een organisatie, kunnen risicoleiderschap tonen, mits ze bereid zijn om zich een aantal vaardigheden aan te leren. Een risicoleider kán een risicomanager of risicoadviseur zijn, maar dat hoeft helemaal niet. Een kwaliteitsmanager of -adviseur kan ook risicoleiderschap tonen en zo een risicoleider worden.
Vierdimensionaal leiderschap
Wat is nu een risicoleider? Iemand die een aantal leiderschapsvaardigheden verenigt met een aantal risicomanagementvaardigheden – en die ook daadwerkelijk toepast. Op basis van literatuur- en praktijkonderzoek naar leiderschap in een dynamische organisatieomgeving heb ik de leiderschapsvaardigheden voor de risicoleider samengevat in 4D’s. De 4D’s staan voor Doelgericht, Diversiteit, Durven en Doen, ofwel voor vierdimensionaal leiderschap in een onzekere werkwereld.
Waarom juist deze 4D’s? Een risicoleider weet wat hij of zij wil realiseren. Met andere woorden: het doel, in de meest brede betekenis van het woord, is bekend. Ook de kwaliteitsdoelen zijn helder. Een risicoleider is dus Doelgericht. Om doelen te kunnen realiseren in een dynamische omgeving is het essentieel om Diversiteit te omarmen. De wereld is immers veel te complex om alle ontwikkelingen en de daaruit voortkomende onzekerheden in je eentje, of met een paar soortgelijke collega’s of managers, te kunnen overzien. We moeten ook leren Durven om onzekerheid te omarmen, om niet alles te kunnen weten, voorspellen, beheersen en controleren. Vervolgens is het een kwestie van Doen. Alleen door te doen, door te werken, door scherp te kiezen om risico’s al dan niet te nemen en kansen te benutten, alleen zo kunnen we onze (kwaliteits)doelen realiseren. En dan zijn we weer terug bij doelgerichtheid en is de cirkel rond.
Risicomanagementvaardigheden
Een risicoleider kan werken met de kernbegrippen onzekerheid, risico en risicoperceptie. Ook (her)kent een risicoleider zowel de eigen risicobereidheid als die binnen en buiten de organisatie. Een risicoleider kan omgaan met onzekerheid, durft te kiezen om risico’s al dan niet te beheersen én neemt daarvoor de verantwoording. En het allerbelangrijkste: een risicoleider integreert expliciet risicodenken en -doen in alle dagelijkse werkzaamheden. Hij of zij is bereid om hiervoor specifieke vaardigheden te ontwikkelen, vaardigheden om de kenmerken van risicosturing (zie figuur 2) toe te passen. Bijvoorbeeld de vaardigheid om met meerdere doelen te kunnen omgaan of om eigenaarschap voor een (kwaliteits)risico aan te gaan.
Risicoleiders zijn ongewoon gewone mensen, die steeds weer in staat blijken om risicogestuurd de gewenste kwaliteit te leveren.
Conclusies
Met de nieuwe ISO’s is kwaliteitsmanagement volledig risicogebaseerd. Dit vraagt om een inbedding van risicomanagement in kwaliteitsmanagement. Risicogestuurd werken blijkt hiervoor een passende aanpak. Risicosturing is een terug-naar-de-essentie vorm van risicomanagement dat om leiderschaps- én risicovaardigheden vraagt: risicoleiderschap. Met deze combinatie hoeven risicoleiders echt geen supermensen te worden. Risicoleiders zijn ongewoon gewone mensen, die steeds weer in staat blijken om risicogestuurd de gewenste kwaliteit te leveren, juist in een dynamische en onzekere organisatieomgeving.
Literatuur
- Ahuis, K. (2015). Waar gaat het me de kwaliteitsbeweging heen? Sigma, 1, 6-10.
- COSO ERM (2017). Enterprise risk management: Integrating with strategy and performance. Committee of Sponsoring Organizations of the Treadway Commission.
- Hart, W. (2012).Verdraaide organisaties: terug naar de bedoeling. Vakmedianet, Deventer.
- ISO (2018). Risk management – guidelines. ISO, Geneva.
- NEN (2015). Kwaliteitssystemen – Eisen. NEN-EN-ISO 9001 (nl). NEN, Delft.
- Staveren, M. van (2018). Risicoleiderschap: doelgericht omgaan met onzekerheid. Vakmedianet, Deventer (in augustus beschikbaar).
- Staveren, M. van (2015). Kwaliteit van risicogestuurd werken: Een andere aanpak voor omgaan met kwaliteitsrisico’s. Sigma, 3, 30-34.
- Staveren, M. van (2015). Risicogestuurd werken in de praktijk. Vakmedianet, Deventer.
Dr.ir. Martin van Staveren MBA staat voor anders omgaan met risico’s. Vanuit VSRM adviseert hij organisaties over realistisch en vernieuwend risicomanagement. Ook is Martin kerndocent aan de Executive Masteropleiding Risicomanagement, Universiteit Twente, en doceert hij in de Master Kwaliteitsmanagement, Schouten University. In 2015 verscheen zijn boek Risicogestuurd werken in de praktijk. In augustus 2018 verschijnt zijn volgende boek: Risicoleiderschap.
