Home > Risicomanagement > 4 valkuilen voor risicomanagement

4 valkuilen voor risicomanagement

15-12-2016

valkuil_516175141

Modern risicomanagement heeft nog steeds vier klassieke valkuilen. Welke vier? En hoe vermijdt u ze?

Fascinerend, hoe velen – professionals, leidinggevenden en zelfs risicomanagers  – steeds weer met open ogen en de beste bedoelingen in die valkuilen vallen. Hoewel niet nieuw, zijn ze dus wel actueel. Zelfs actueler dan ooit.

Valkuil 1: complexiteit

Laatst had ik een leidinggevende van een woningcorporatie – zeker niet de grootste – in een opleiding. Zij kreeg een update van het risicodossier binnen. Er stonden nu 543 risico’s in … Wie kan en wil daar wat mee doen? Wie geeft dit aantal energie? Retorische vragen. Dit is de complexiteit van omvang.

Een andere complexiteit is die van classificatie. Risico’s worden dan bijvoorbeeld beoordeeld op basis van 7 kans-klassen en 5 maal 7, ofwel 35 gevolgklassen. Met eindeloze discussies of een risico klasse 5 is of klasse 6. Voor klasse 6 moeten we escaleren naar het hogere management …

Risicomanagement is makkelijk moeilijk te maken; omgekeerd is veel lastiger

Risicomanagement is dus makkelijk moeilijk te maken. Het omgekeerde is veel lastiger. Hoe beperk je de complexiteit van risicomanagement? Bijvoorbeeld door elk risico aan doelen, taken, of eisen te koppelen. Een risico is dan een onzekere belemmering op weg naar het realiseren van dat doel, de taak of de eis. Dat maakt risico’s gelijk relevant. Ook helpt het om scherpe keuzes te durven maken. Breng de 7 kansklassen bijvoorbeeld terug tot 3 of misschien zelfs 2: grote kans en kleine kans. Grote kans dat hiermee de scherpte toeneemt.

Valkuil 2: getallen

Ja, ze zijn er nog steeds. Mensen die een risico alleen een risico noemen als het risico in een getal is uit te drukken. Een risico zonder kans en gevolg in bij voorkeur objectieve getallen is volgens hen géén risico, maar onzekerheid. What’s the bloody difference? In beide gevallen moet je immers een keus maken: doe ik iets of doe ik niets aan het risico of de onzekerheid die mijn doel, taak of eis danig kan verstoren?

Risico-inschattingen zijn altijd subjectief, door gebrek aan harde data

Wat helpt? In elk geval het benutten van een moderne definitie voor het begrip risico. Bijvoorbeeld die van “risico is effect van onzekerheid op doelen”. Die is van de ISO. Opvallend is dat het nieuwe COSO risicomanagement framework – in Nederland en internationaal veel benut door de grotere bedrijven – risico’s ook aan doelen koppelt. Hierover lijkt dus wereldwijd brede consensus te bestaan. Hiermee verdwijnt meteen het gekunstelde onderscheid tussen risico en onzekerheid, waar je in de praktijk zo weinig aan hebt.

Wat ook helpt: accepteren dat veel risico-inschattingen noodzakelijkerwijs subjectief zijn, wegens gebrek aan harde data. Ook al brengen Big Data hier af en toe verlichting, vaak komt het toch aan op durven kiezen: iets doen aan het risico, of toch maar niet?

Valkuil 3: illusie

Ook dit menstype loop je in de praktijk nog regelmatig tegen het lijf: de manager of bestuurder die echt verwacht dat door risicomanagement geen risico’s meer optreden. Let op de vraag die daaraan vooraf gaat: “Ik wil een complete en objectieve risicoanalyse.” Het enige juiste antwoord hierop is een dubbel NEE. Een compleet risicodossier kan per definitie niet. Je weet immers niet wat je niet weet. Zo is zelfs het eerdergenoemde risicodossier met 543 risico’s met zekerheid niet compleet. En dan die objectieve risicoanalyse. Weet u een echt 100% objectief risico te verzinnen? Dus een risico waarvan de kans van optreden én alle mogelijke gevolgen volledig en feitelijk bekend zijn? Best lastig, voor een fenomeen dat inherent onzeker is.

Een compleet risicodossier bestaat niet; je weet immers niet wat je niet weet

Hoe prik je deze illusies door? Geduldig blijven uitleggen dat modern risicomanagement gaat over optimaal leren omgaan met risico’s. Dat er altijd wel iets onverwachts blijft optreden. Dat niemand met echt verstand van zaken het aandurft om risico’s 100% objectief te noemen. En dat met het benutten van kennis, ervaring, diversiteit en gezond verstand veel risico’s wel degelijk heel behoorlijk in toom zijn te houden.

Valkuil 4: niets doen

Dat in toom houden van risico’s, dat vraagt wel om meer dan de lijst met risico: het risicodossier. Risico’s zijn daarin geïdentificeerd en geclassificeerd. Als het goed is, is elk risico ook gekoppeld aan een doel, taak of eis. Alleen, wordt er ook iets gedaan met zo’n risicoanalyse? Het opschrijven van maatregelen is een prima start, maar volstrekt onvoldoende. Het gaat immers om het uitvoeren van die maatregelen. Tenminste, als men daarvoor expliciet heeft gekozen, wat lang niet altijd een (wettelijke) verplichting is.

Besloten iets aan een risico te doen? Geef die papieren tijger dan echt tanden

Als inderdaad besloten is om iets aan een risico te doen, dóe dat dan ook. Alleen zo krijgt de papieren tijger tanden. Handig hierbij: borg elke maatregel gewoon in werkwijzen, processen, activiteiten of wat dan ook die er toch al zijn. Benoem deze expliciet in het risicodossier. Dit in plaats van aparte risico-actielijsten waar men – paradoxaal genoeg – vaak geen tijd voor vrijmaakt. Door tijdgebrek, omdat we het zo druk hebben met ‘brandjes blussen’. Dus heeft u besloten iets aan een risico te doen, doe dit dan ook en combineer het met wat u toch al doet.

Af en toe even stilstaan

Tot slot, hoe weet u nu of u de vier valkuilen daadwerkelijk hebt vermeden? Door af en toe even stil te staan, onder het motto ‘Wie stilstaat voor een valkuil, die valt er zelf niet in’. Een heuse kwaliteit. Stel uzelf, of uw team, dan even deze vier vragen:

  1. Maken we risicomanagement niet te complex?
  2. Kunnen we zonder risicogetallen toch een wijs besluit nemen?
  3. Zijn we bezig om de illusie van volledige risicobeheersing te voeden?
  4. Doen we echt wat we hebben besloten over omgaan met risico’s?

 

Dr. Martin van Staveren | Adviseert organisaties over omgaan met risico’s en onzekerheden. Zijn missie is om daarmee effectiviteit en welzijn binnen en buiten organisaties te vergroten. Martin is ook kerndocent aan de postacademische masteropleidingen Risicomanagement en Public Management, Universiteit Twente. Begin 2015 verscheen zijn boek ‘Risicogestuurd werken in de praktijk‘ bij uitgever Vakmedianet.

image_pdf

Deel dit bericht via: