Waarom werkt risicomanagement niet?

Risicomanagement is management dat risico's v.d. onderneming moet verminderen. Met 4 handvatten signaleert u waar in uw organisatie verbetering mogelijk is.

Bij risicomanagement gaat het vaak om statische risico's, dit betekent risico's waar alleen verlies mee is te lijden. Wat te doen bij brand, diefstal, kapotte waterleiding, ruzie, ongewenste intimiteiten, bedreiging van medewerkers, etc. Maar hoe wapenen we ons tegen de risico's van een onverantwoordelijke bedrijfsvoering?

Hoe komt het toch dat risicomanagement vaak niet oplevert wat er van werd verwacht? Als het over interne beheersing van de organisatie gaat, wordt er vaak gekeken naar de financiële specialisten. De onderstaande punten bieden u handvatten om te signaleren waar er binnen uw eigen organisatie ruimte is voor verbetering.

1. Risicomanagement is beperkt tot stafafdelingen
   Risicomanagement is vooral een feestje van stafafdelingen geworden. Ze houden zich hoofdzakelijk bezig met het invoeren van compliance maatregelen en hebben beperkt contact met de business. Deze situatie komt bijvoorbeeld voor in de financiële sector. Deze stafafdelingen categoriseren de wereld in ‘lines of defence’ en spreken onvoldoende de taal van de lijnmanagers. Die maken zich vooral druk over de beste manier om aan te vallen en zo marktaandeel te veroveren.
2. Er is een gesloten organisatiecultuur
   Er is binnen de organisatie een erg dominante leider, die afwijkende meningen niet op prijs stelt. We hebben enkele recente voorbeelden hiervan gezien in de woningcorporatiesector. De leider legt meer nadruk op verwijtbaarheid (afbranden van mensen) dan op vermijdbaarheid (leren van fouten), als er zich incidenten voordoen. Managers en andere medewerkers houden problemen daarom bij voorkeur zo lang mogelijk stil. Er wordt niet expliciet gesproken over risico’s bij bijvoorbeeld het doen van acquisities, bij productlanceringen of bij het betreden van nieuwe markten. Als er sprake is van aanzienlijke activiteiten in een nieuwe sector, onderkent de leiding nauwelijks dat de organisatie beperkte ervaring heeft met het managen van de daarmee samenhangende risico’s. Zij moedigt excessief risicogedrag juist aan en beloont het met aandacht, bonussen, promoties, etc. Zij geeft geen blijk van de moed en de eerlijkheid, die vereist zijn om belanghouders tijdig te informeren over de mate waarin de doelstellingen naar verwachting zullen worden bereikt.
3. Lijnmanager worden onvoldoende aangesproken op verantwoordelijkheden
   De lijnmanagers geloven dat ze ‘in control’ zijn, als ze de procedures en protocollen maar braaf uitvoeren zoals voorgeschreven door de centrale stafafdelingen. Dit komt bijvoorbeeld voor in sterk gereguleerde sectoren zoals de zorg. Bij periodieke voortgangsbesprekingen wordt aan de lijnmanagers nauwelijks deze kernvraag gesteld: hoe zeker ze ervan zijn dat ze in de komende periode de afgesproken resultaten zullen bereiken. En dat er in hun domein geen onaangename verrassingen zullen zijn. Ze worden ook nauwelijks aangesproken op hun resultaten en komen er doorgaans mee weg, als ze afgesproken verbeterplannen niet (tijdig) doorvoeren.
4. Integratie met organisatiedoelstellingen ontbreekt
   De relatie tussen de risiocomanagementactiviteiten en de te realiseren strategische agenda (zoals groei, efficiency, innovatie, standardisatie, duurzaamheid, etc.) wordt nauwelijks gelegd. Dit komt bijvoorbeeld voor in de onderwijssector. Er zijn geen duidelijk geformuleerde en gecommuniceerde organisatiedoelstellingen. Daardoor bestaat er ook onduidelijkheid over welke waarde er nu voor welke belanghouders gecreëerd moet worden. De leiding beschouwt dit niet als een probleem: zo wordt het ook lastiger om hen aan te spreken op de behaalde resultaten. Ook de bandbreedten van de aanvaardbaar geachte afwijkingen van de doelstellingen (de risicobereidheid) zijn niet helder. Daardoor blijft vaag welke mate van interne beheersing er nodig is om binnen die marges te blijven.

Conclusie

Goed bekeken draait het bij effectief risicomanagement om het voortdurend verbeteren van de ‘prognosekracht’ van een organisatie. Dat houdt in: de kwaliteit van de periodieke voorspellingen door de verantwoordelijke lijnmanagers m.b.t. de realisatie van hun doelstellingen. Het maken van deugdelijke prognoses vereist dat de desbetreffende manager zich vergewist van de mate van risicoblootstelling en de kwaliteit van de interne beheersing. Het realiteitsgehalte van de afgegeven prognoses vormt een weerspiegeling van de mate waarin hij of zij ‘in control’ is.

Hierdoor verschuift de aandacht van het achteraf meten van de werkelijke resultaten (t.o.v. het plan, budget, etc.) naar het voortdurend proactiever managen van de verwachtingen. En daarmee naar de mate waarin de leiding in de ogen van de belanghouders grip blijkt te hebben op de zaak. Verbetering van de prognosekracht leidt tot versterking van het vertrouwen van en in de leiding.

Lijnmanagers ervaren risicomanagement dàn als zinvol, als het hen helpt om de verwachtingen van hun belanghouders effectief te managen. Risicoanalyses moeten vooral gericht zijn op het inschatten van de mate waarin de geformuleerde doelstellingen naar verwachting gehaald zullen gaan worden. En dat er gerichte verbeteracties in gang moeten worden gezet, als de conclusie luidt dat de huidige beheersing ontoereikend is om de verwachtingen waar te kunnen maken. De conclusie kan overigens ook betekenen dat (de bandbreedten van) sommige doelstellingen moeten worden bijgesteld op basis van voortschrijdend inzicht.

Het blijkt dat de risicorapportages te algemeen zijn. De rapportages bevatten generieke containerbegrippen in plaats van tastbare risico’s.

Ze worden wel gesignaleerd, maar het blijft onduidelijk welke impact het risicopotentieel op de onderneming heeft en of de continuïteit in gevaar is.

De rubriek ACTUEEL informeert u over recent verschenen berichten in de media. In elk bericht vermelden wij de oorspronkelijke bronnen. Bronnen: Deloitte & Financieel Management door Drs. M. de Pooter

Zie ook onze kennisbank-pagina Risicomanagement.