Overtollig risicomanagement

En de vertaling naar waardemanagement voor controllers

Door: Marinus de Pooter

Risicomanagement wordt in de praktijk doorgaans vormgegeven door na te gaan wat er in de toekomst allemaal mis kan gaan, daar allerlei beheersmaatregelen voor in te richten, te controleren of die ook werken en ze bij te stellen als dat nodig geacht wordt. Het is dan een van de managementsystemen naast andere zoals bijvoorbeeld quality, safety, information security, business continuity en compliance management.

Maar als risicomanagement het antwoord is, wat is dan ook alweer de vraag? Hoe goed helpt een risicomanagementsysteem beslissers bij het omgaan met onzekerheid en disruptie? Of gaat het eigenlijk meer om een belief system? Is er sprake van missionarissen, gelovigen en inquisiteurs die er belang bij hebben om het systeem in stand te houden? In hoeverre is geformaliseerd risicomanagement overtollig? Ofwel: wat mis je, als je er niet (meer) in gelooft?

Een kenmerk van goed organisatiebestuur

Het is aansprekend om fouten te vermijden, ongelukken te voorkomen en onheil af te wenden. Je kan daar lastig tegen zijn. Interne specialisten en externe consultants grepen dit aan om organisaties te verbeteren. Het leidde tot codificatie van best practices. Overheden en regelgevers omarmden vervolgens deze standaarden als methoden om aantoonbaar te krijgen dat organisaties hun zaken op orde hebben. Risicomanagement werd zo gaandeweg gezien als kenmerk van goed organisatiebestuur.

In de 2004 editie van het COSO Enterprise Risk Management Framework werd risicomanagement gezien als een proces. Als je dat nog niet had ingericht, dan stonden de adviesbureaus in de rij om je te helpen bij de implementatie. Hoe meer het verplicht werd gesteld, des te lucratiever hun verdienmodel werd. Omvangrijke maturiteitsmodellen zorgden voor steeds meer toeters en bellen. Er werden allerlei speciale ERM en GRC applicaties ontwikkeld. Het is nu een multimiljarden bedrijfstak.

Wellicht heb jij je ook wel eens verbaasd over het steeds uitdijende jargon. Zo spreekt men over ‘risk governance’ naast gewone governance, over ‘risk culture’ naast organisatiecultuur en over ‘risk owner’ naast resultaatverantwoordelijke. Ook zou je ‘risk intelligence’ nodig hebben naast gewone-mensen-intelligentie. Dit leidt ertoe dat veel risicospecialisten in een andere wereld leven dan hun medekantoortuinbevolkers.

Meer dan alleen de negatieve effecten

In de praktijk wordt ‘risico’ geassocieerd met negatieve effecten op zaken die voor mensen waardevol zijn. Beslissers wegen echter steeds pro’s én cons af. Expliciet en impliciet. Formeel en informeel. Dat geldt voor hun governancestructuren, bedrijfsprocessen en projecten. Ze moeten mogelijke voor- én nadelen afwegen bij het ontwerpen, uitvoeren, evalueren en verbeteren ervan. Het voortdurend vooruitkijken is inherent aan hun reguliere PDCA-cyclus, die bedoeld is om de waarschijnlijkheid van hun succes te vergroten. Daartoe moeten zij kansen benutten én bedreigingen beperken.

We kennen geen wetenschap die ‘risicologie’ heet. Er is wel een op zichzelf staande risicomanagement-wereld gecreëerd. Die vervolgens uit alle macht moet worden geïntegreerd in de reguliere managementcyclus. Dat valt in de praktijk niet mee, want het gaat veelal over bijzondere concepten. Neem het begrip ‘risico’ zelf. Daar bestaat geen universele definitie van. Veelbetekenend is het dat ISO – de organisatie voor wereldwijde standaardisatie – zelf in haar publicaties meer dan 40 verschillende definities van risico gebruikt.

Bij risicomanagement trainingen en congressen tref je hoogst zelden bestuurders, lijnmanagers of projectleiders aan. Dat is best opvallend, omdat risicomanagement belooft dat het hen helpt om hun doelstellingen beter te halen. De meesten zijn niet achterlijk. Als het hen echt zou helpen, zouden zij dan niet vooraan zitten om te leren hoe ze er hun voordeel mee kunnen doen?

Ondertussen zijn er duizenden mensen in de weer met compliance-gedreven risicomanagement. Capaciteit die ook ingezet kan worden om de beslissers in hun organisaties te ondersteunen. Bij het eerlijk in beeld brengen van kansen én bedreigingen. Of bij het maken van realistische scenario’s en prognoses en het evenwichtig afwegen van mogelijke pro’s én cons bij belangrijke beslissingen. Of bij het proactief managen van de verwachtingen van de klanten, financiers en toezichthouders.

Van risicomanagement naar waardemanagement

Toekomstbestendigheid hangt niet zozeer af van risicoregisters, beheersraamwerken en testresultaten. Het hangt met name af van de kwaliteit van de besluitvorming. Als controllers waarde willen toevoegen, dan moeten zij daar vooral aandacht voor hebben binnen hun organisatie. Hebben de beslissers toereikende competenties? Past hun mentaliteit bij de kernwaarden van de organisatie? Zijn zij zich bewust van belangrijke veronderstellingen in hun plannen en scenario’s? Zorgen zij voor open discussies bij dilemma’s? Brengen zij de juiste deskundigen aan tafel? Stellen zij afwijkende inzichten op prijs? Wegen zij de belangen van hun kernstakeholders evenwichtig af?

Veel financials associëren ‘waarde’ primair met rendement, nettowinst, kasstromen, maar door de juiste vragen te stellen, creëren én beschermen controllers de waarde voor belangrijke stakeholders. Hierdoor wordt risicomanagement vertaalt naar ‘waardemanagement’.

Marinus de Pooter is zelfstandig gevestigd als interim professional, adviseur en trainer. Hij ondersteunt ondernemers, bestuurders en managers bij het toekomstbestendig houden van hun organisaties. Voor NIVE Opleidingen verzorgt hij onder meer de cursus Praktisch risicomanagement.

Wil jij handvatten om aan de slag te gaan met risicomanagement? De cursus Praktisch risicomanagement laat de traditionele modellen van risicomanagement achter zich en richt zich op de integrale benadering van waardemanagement voor de organisatie. Centraal in deze cursus staat de essentie van ‘waardemanagement’: het creëren én beschermen van waarde voor belangrijke stakeholders. Ben jij in staat om hen hierbij te ondersteunen?