Geplaatst door Welke stappen moeten we nemen om te kunnen spreken van “professioneel risicomanagement” binnen onze organisatie? Om op deze vraag antwoord te krijgen is het raadzaam te kijken bij de vele risicomanagement volwassenheidsmodellen op dit gebied. Hoewel leerzaam is mijn frustratie van deze modellen dat ze onvoldoende aansluiten bij de praktijk. Ze gaan teveel uit van een droomwereld van internal control en hoe het zou “moeten”. Persoonlijk geloof ik meer in een autonoom groeiend systeem, waarbij de hele organisatie uiteindelijk zijn rol krijgt.
REACTIEF
In deze fase worden risico’s uiteraard gemanaged, maar veelal autonoom en impulsief. Er is niet één overzicht van het integrale profiel en hierdoor ontstaan er wel eens verrassingen (positief en negatief), waardoor de verwachtingen bij de stakeholders gemanaged moeten worden. Veel van deze organisaties worden gestuurd vanuit urgentie en rennen van het ene incident naar het andere. De externe verantwoording is te herkennen aan een zeer statisch en generiek risicoprofiel en veel uitleg over de wetgeving. Alleen financiën zorgt voor een lijstje met de risico’s.
WETGEVING
De eerste vraag die ik stel als wij vragen krijgen om risicomanagement te professionaliseren is: waarom juist op dit moment starten? Vaak blijkt dit vanuit de accountant of toezichthouder te komen, zij vragen hierom. Vaak is er dan een “burning platform”, een recente teleurstelling in de verwachtingen. In deze fase dient de instrumentele kant van risicomanagement opgetuigd te worden conform de eisen van de wet- en regelgeving. Veelal wordt risicomanagement bij financiën/control neergelegd. Zij zorgen dan voor het ophalen van de informatie en de rapportage. Vaak wordt een beleid vastgesteld en een format ontwikkeld en systeem aangeschaft. Probleem van deze fase is dat het niet intrinsiek is waardoor het zeer moeilijk is om risicomanagement te laten leven in je organisatie.
PROACTIEF
Als het verplichte risicomanagement goed is ingericht, worstelen veel organisaties met het echt iets van de organisatie maken. Nu is het zaak toegevoegde waarde te leveren voor een individuele manager. Hij dient het als zijn taak te zien om zijn eigen doelstellingen te behalen. Hierbij dient het risicomanagement gekoppeld te zijn aan de wijze waarop organisatiesturing is ingericht om haar doelen te behalen.
Dit vraagt soms een andere positionering van het onderwerp, uit de financiële hoek, dichterbij de directie. Hierbij dient er naast de risicodialoog ook aandacht te worden besteedt aan de kwaliteit en leesbaarheid van management rapportages. Een kernteam waarbij men de organisatie aanjaagt is hierbij een belangrijke randvoorwaarde.
WAARDE
Met risicomanagement wil je waarde creëren en waarde behouden, zoals de nieuwe normen ISO31000 en COSO aangeven. In deze fase is risicomanagement zeer sterk verankerd met de cultuur van de organisatie. Het top management geeft het goede voorbeeld door reflectie om zich heen te organiseren. Het is alert zijn op externe risico’s die wellicht nieuwe kansen met zich mee brengen. Immers zonder risico’s geen innovatie. De organisatie is alert en leert snel van gemaakte fouten. Door het bespreekbaar maken van risico’s kunnen meer risico’s geaccepteerd worden. Doordat de organisatie aantoonbaar reflectie organiseert, wordt het vertrouwen bij de stakeholders (en toezichthouders) vergroot.
Robert 't Hart 