governance / risicomanagement / Uncategorized

Toegevoegde waarde risicomanagement = vertrouwen

Geplaatst door

In een tijd van onzekerheden en crisis wordt de schreeuw om aantoonbaar in control te zijn steeds sterker. Organisaties dienen meetbare doelen te stellen en (risico)verantwoording af te leggen, als het niet loopt zoals vooraf aangegeven. Maar meer regels lijken vooralsnog niet de oplossing te zijn. Vanuit het kabinet is invulling gegeven aan een programma risico-regelreflex om te voorkomen dat we doorschieten ten aanzien van nieuwe veiligheidsregelgeving. Jammer dat dit nog niet verbreed is naar de bedrijfsregelgeving/ governance. We zijn zo langzamerhand meer bezig met risicoverantwoording dan het vinden van de balans tussen risico’s nemen en beheersen.

Als inspiratie voor deze blog is een publicatie van het ministerie van Financiën (2009) gebruikt inzake vertrouwen geven en in control zijn.

Maar wat betekent nu eigenlijk ‘vertrouwen’?

Vertrouwen is de verwachting dat mensen of organisaties ons niet in de steek laten, ook al is dat mogelijk. Je moet dus bereid zijn dat risico te lopen. Of bij blind vertrouwen, er geheel geen aandacht voor hebben. Hierbij speelt aandacht/bewustzijn van de risico’s dat het toch anders kan lopen dan iedereen verwacht, een belangrijke rol (Nooteboom, 2002). Iedere keer dat de verwachting dat een risico zich niet zal voordoen onterecht blijkt, is dit een inbreuk op het opgebouwde vertrouwen.

Zoals een aannemer die je huis verbouwt

Een ander belangrijk aspect van vertrouwen is dat het een gebrek aan kennis /informatie impliceert. Als je bepaalde doelstellingen wilt behalen en niet alles zelf kunt, dan is samenwerking noodzakelijk en zul je anderen moeten vertrouwen die dat wel kunnen. Wanneer waag je een vertrouwenssprong?

Denk aan een aannemer die je huis verbouwt, terwijl jij zelf geen klusser bent. Zodra je meer verstand van zaken hebt, zul je ook meer gerichte vragen kunnen stellen. Daardoor kun je risico’s in zekere mate beheersen. Mensen wagen alleen de sprong wanneer zij vertrouwen hebben dat al een substantieel deel van de onzekerheden en risico’s is afgedekt.

Risicomanagement als vaag begrip concreet maken

Falende bestuurders worden in toenemende mate afgerekend wanneer er iets fout gaat of als zij hun doelstellingen niet halen. De traditionele reactie van bestuurders “wat is ons nu weer overkomen” ofwel “act of god” wordt steeds minder geaccepteerd. Uit de vele governance codes wordt steeds duidelijker dat een goed werkend risicomanagement systeem aanwezig moet zijn. Maar ‘een goed werkend risicomanagement systeem’, wat is dat?

COSO II (2004) geeft vrij goed aan wat onder risicomanagement verstaan moet worden. Alleen biedt COSO II weinig aanknopingspunten over hoe risicomanagement in de praktijk te implementeren. ISO 31000 (2009) geeft hiervoor meer handvatten. Maar risicomanagement wordt pas echt concreet als we kijken naar de checklist van DNB voor pensioenfondsen. Hier worden m.i. de vragen gesteld die er echt toe doen.

Bug in ons brein: angst voor verlies

Nobelprijswinnaar Kahneman stelde vast dat we volstrekt irrationeel zijn. We hebben een belangrijke bug in ons brein: de angst voor verlies. Verlies doet ons zoveel pijn (meer dan winst oplevert) dat we er alles aan doen om niet te verliezen. We nemen meer risico om het verlies te voorkomen en praten er pas over als het echt niet anders meer kan. Op dat moment is er vaak al een crisissituatie voor het management.

Het management speelt zelf een belangrijke rol. Zij dient voor haar medewerkers een veilige omgeving te creëren (cultuur), waar men daar open over mogelijk falen kan praten. Aan de andere kant dient er een proces te zijn waarin expliciet naar risico’s gevraagd wordt. Met name als de eerste line of defence (de specialisten op de werkvloer) bewuster wordt gemaakt, kunnen grote stappen worden gezet qua alertheid van de organisatie.

Conclusie: risicomanagement helpt vertrouwen te winnen

Een organisatie kan vertrouwen winnen bij haar stakeholders door te laten zien dat zij risicomanagement serieus neemt. Zij dient helder te maken dat zij goed zicht heeft op de risico’s en te laten zien welke risico’s zij kan en wenst te accepteren (risk appetite). Los van zaken op papier dient de organisatie risicomanagement te borgen door heldere taken en verantwoordelijkheden toe te wijzen aan management en medewerkers. Dit kan bijvoorbeeld worden geïnitieerd door een risk comité of stuurgroep. Maar het moet nadrukkelijk iets van de organisatie als geheel zijn en niet een speeltje van control/financiën blijven. Je krijgt de organisatie mee door het vergroten van bewustzijn en kennis en kunde binnen de organisatie. Denk hierbij aan voorbeeldgedrag, creatieve communicatie, trainingen en software. Op die wijze laat de organisatie zien dat zij nu en in de toekomst alert en voorbereid is op onzekere gebeurtenissen, cruciaal voor het behouden van vertrouwen.