Een eenzame risicomanager met kerst

Sinds 2019 was hij risicomanager bij een grote overheidsorganisatie. Na zijn studie accountancy was hij tegen dit mooie vak aangelopen. Hij was in 2018 gevallen voor de wervende vacature tekst; risicoanalyses, strategisch belangrijk voor een organisatie die echt maatschappelijke impact had.

En het mooie was; hij had bijna 20 jaar risicomanagement ervaring. Immers bij de bank waar hij als risk & compliance consultant had gewerkt had hij meegewerkt aan de noodzakelijke verbetering van het internal control framework. Deze moest verbeterd worden als gevolg van de Sarbanes-Oxley wetgeving (2002). Hierin wordt van de CEO  en de CFO een verklaring gevraagd dat alle controles waterdicht zijn.

Samen met vele collega’s had hij destijds zijn schouders eronder gezet met als resultaat dat ze glansrijk door de audit waren gekomen. Hun integrale GRC tool had hier enorm bij geholpen en een overzichtelijk dashboard opgeleverd. De raad van commissarissen had hen hiervoor een compliment gegeven aangezien zij hiermee hun Licence tot operate hadden gered. Dat waren echt hoogtij dagen waarbij de toegevoegde waarde volop werd gevoeld.

De jaren erna verslapte de aandacht en werd er steeds meer bezuinigd op risk en compliance. Het werk werd ook minder leuk. Collega’s vertrokken. En ook hij als risicomanager ging om zich heen kijken… op zoek naar een job waar hij iets meer energie uit zou halen en waar zijn ervaring bruikbaar was. Hij wist hoe de wetgeving in elkaar zat en vooral hoe een dergelijk proces doorlopen moest worden. 

Na lang solliciteren werd uiteindelijk uitgenodigd en na een paar ronden werd hij aangenomen bij de ZBO “het korte lontje”, een organisatie vallend onder het ministerie van Volksgezondheid. 

De eerst weken waren zeer bijzonder, hij moest echt wennen, het was echt een andere cultuur en van integraal risicomanagement was absoluut nog geen sprake. Maar het was een mooie organisatie welke echt maatschappelijke waarde creëerde. Bij het inwerken werd hij gevraagd alvast te kijken naar een aantal onderwerpen en daar eens zijn mening over te geven. Hij ging er enthousiast mee aan de slag. 

Maar hij miste wel een sparring-partner, moest hij echt alles alleen bedenken? Ook werd hij steeds meer op spoedklussen ingezet. Of hij niet eens mee kon denken met het project rondom het nieuwe integrale financiële systeem. Tuurlijk wilde hij dat wel om mensen te leren kennen. Maar na verloop van tijd werd hij toch wat onrustig. Zijn echte werk om een integrale risicomanagement aanpak op te zetten en te implementeren, daar kwam hij niet aan toe. De organisatie leek alleen op urgente zaken te sturen en voor de belangrijke (maar minder urgente) zaken was geen aandacht. En heel eerlijk eigenlijk was het een zooitje, vooral als hij het vergeleek met zijn vorige werkgever. Daar was het gewone management zo ontzettend risicobewust. Als hij daar langskwam gingen de deuren open. Hij hielp ze met de vastlegging van risico’s en controls en er was wederzijds respect. 

Frameworks en management

Een risico-volwassen organisatie, hier moest hij naar toe werken toch? Maar hoe? In het weekend brak hij zijn hoofd erover. Welk framework zou de basis moeten zijn? Hoe krijgt hij de top mee? 

Hij begon met het schrijven van een beleidsdocument op basis van de oude COSO kubus (dat kende hij immers goed). Met dit beleid wilde hij een afspraak met de directie om het toe te lichten. En yes! Het stond op de agenda in november! Hij bereide zorgvuldig zijn presentatie voor. Helaas werd een week van tevoren het onderwerp van de agenda gehaald, vanwege andere prioriteiten. Maar in december zou het onderwerp opnieuw op de agenda komen. Dan maar even wachten en zijn presentatie verder fijn-slijpen. Een week voor de vergadering in december kreeg hij een mailtje dat er wat minder tijd was, kon hij het ook in 45 minuten presenteren of moest het verschoven worden? Nee, niet verschuiven was zijn reactie. Het onderwerp lag al zo lang stil. Dus hij ging akkoord en bouwde zijn presentatie flink om. Het risicomanagement-raamwerk toelichten was het hoogst haalbare. De ochtend van de vergadering kreeg hij het verzoek of het nog in 30 minuten kon en dat helaas twee belangrijke directeuren er niet bij konden zijn. Pffff wat moest hij doen? Cancellen of toch door laten gaan? Hij koos toch maar voor het laatste.

In de sessie zelf heerste een negatieve stemming. Voordat hij zijn laptop had opengeklapt kreeg hij de vraag wat de doelstelling van deze presentatie was? Hadden ze zijn beleid dan niet gelezen? Daar stond toch alles heel duidelijk in. Maar goed; nu sterk zijn en doorgaan. Hij antwoordde dat “het de doelstelling was om met risicomanagement meer in control te zijn als organisatie. Dit naar aanleiding van de herhalende opmerkingen van de accountant dat dit moest gebeuren”. Zo kwam er lekker uit en hij kon van start met zijn presentatie. De eerste vijf minuten gingen prima, maar toen merkte hij dat de deelnemers steeds meer begonnen te bewegen. Hij kreeg steeds meer vragen of dit model niet heel veel tijd ging kosten en dat er toch niet heel veel risico’s waren opgetreden. Was dat niet een teken dat een zware risicomanagement aanpak eigenlijk niet nodig was. En ze rapporteerden toch jaarlijks de top 10 aan risico’s? Na 20 minuten was de temperatuur -/-10 graden. Hij bleef benadrukken dat het belangrijk was dit structureel te borgen. 

Na 25 minuten werd het overleg afgekapt en werd besloten het onderwerp in het nieuwe jaar opnieuw te agenderen met de opdracht om het beleid passend te maken voor de eigen organisatie, we zijn immers geen bank aldus de directie. 

De wandeling

Met stoom uit zijn oren kwam hij thuis. Hij had het helemaal gehad. 

Zo gefrustreerd over hoe de presentatie was gelopen. Hij had werkelijk geen centimeter vooruitgang geboekt. Sterker hij was er vandaag op achteruit gegaan. Hij begon te twijfelen, moest hij niet zijn baan opzeggen? Zijn vrouw hadden hem nog nooit zo gezien, dit zou geen leuke kerstvakantie worden.

De volgende dag werd hij vroeg wakker. Hij besloot naar buiten te gaan, rondje hardlopen met de hond over de hei. Na een paar kilometer kwam hij aan op de hei. Wat een ruimte, wat een rust… 

Hij pakte een kronkelig paadje en slalomde over de hei heen. Het ochtend-rijp op de heide voelde koud langs zijn benen. Hij liep tot zijn vast plek op de hei. Een bankje waarbij je de hele hei kon overzien en waar een paar eeuwenoude eiken stonden te schitteren.

Hij was oprecht gelukkig en zijn werk even helemaal vergeten.  

Op de terugweg bedacht hij dat deze sportsessie wellicht als metafoor kon dienen om net zo gelukkig op zijn werk te zijn als hij nu was.  Hij bedacht dat zijn vrouw hem het zetje had gegeven door hem te vragen de hond uit te laten. 

En dan het bewegen zelf. Hij had al 7 kilometer gelopen en voelde zich sterk. In ieder geval sterker dan toen hij voor de directie stond. En hij had een doel; het eindpunt was een van de mooiste plekken midden op de hei waar een paar eeuwenoude bomen te schitteren. Dit doel haalde hij niet in 1 keer. Hij moest behoorlijk wat heen en weer lopen eer bij zijn doel was. Maar hij haalde het, keek op zijn sport watch en zag dat hij er precies 30 minuten over had gedaan. 

Nog belangrijker was dat hij niet alleen was. Zijn hond liep steeds voor hem uit. Ze wachtte bij elke afslag welke kant hij zou kiezen en sprintte dan voor hem uit. 

Wat een gedachten dacht hij bij zichzelf. Hier moet ik wat mee. Helaas was hij bijna thuis.

Een zeer vrolijk persoon kwam de huiskamer binnen. Na een glas water vertelde hij zijn vrouw over zijn inzichten. Hij wist zeker dat hij deze inzichten kon omzetten naar acties. 

Een nieuw plan!

Die avond ging hij achter zijn laptop zitten en stelde zich de volgende vragen: 

Wat is het doel wat ik wil bereiken? En wat kom ik onderweg tegen? Hij bedacht een simpeler doel, een echt doel, een risicomanagement boom met sterke wortels en een mooi overzicht. Hij bedacht dat dit beter zou landen dan de COSO kubus. Hij erkende ook gelijk dat hij opnieuw weerstand zou tegenkomen. Hij beseft die eerst maar eens in beeld te brengen. Hij zette als actie op om alle directieleden eerst eens te interviewen en te vragen hoe risicomanagement hun zou kunnen helpen in hun managementtaken. 

Maar ging hij dat alleen doen? Het lopen was ook fijner samen. Hij moest een partner zoeken binnen de organisatie. Eentje die anders was dan hijzelf. Hij was van de structuren en kwam uit het bedrijfsleven. Hij moest iemand vinden die de organisatie goed kende en die wist hoe de hazen lopen in deze organisatie. In de vakantie werkte hij zijn ideeën uit. 

Samenwerken

Op LinkedIn en ging op zoek naar risicomanager ZBO. Hij kwam terecht bij een profiel van een risicomanager bij een van de afdelingen van zijn eigen organisatie. Hij wist helemaal niet dat er decentraal ook aan risicomanagement werd gedaan. Hij kreeg snel antwoord op zijn invite. Leuk! En ze wisselden elkaars telefoonnummers uit. 

Die maandag erop spraken ze elkaar en snel bleek dat ze dezelfde achtergrond hadden en tegen precies dezelfde problemen aanliepen. Hij vertelde van zijn recente inzichten vanuit zijn trip langs de hei. De metafoor van de boom sprak haar direct aan. Ze vertelde dat een vriendin heel mooi kon tekenen en dat ze zou vragen de risicoboom te tekenen op zo’n manier dat het duidelijk wordt dat risicomanagement iets voor elke manager is. 

Ze besloten samen een training te volgen om risicomanagement binnen overheidsorganisaties te verankeren. Duidelijk werd dat het binnen de publieke sector belangrijk is om stap voor stap het management mee te krijgen en om bij de wortels te beginnen; dus bottom up risicodialogen organiseren. Vooraf moest ze ook gaan nadenken over de integrale risicotaal (taxonomie). Qua structuur kregen ze te horen dat ISO 31000 de gangbare norm binnen de Rijksoverheid is en dat deze aanpak goed bruikbaar is voor het risicomanagement beleid. De aanpak zet een aantal voorwaarden scherp neer en borgt daardoor dat je als risicomanager wel mandaat en budget krijgt.  

Snel werd duidelijk dat ze als team elkaar konden versterken en meer impact zouden kunnen maken. Ze begonnen aan een beleidsdocument en een implementatie strategie. Ze zouden het hard spelen; als de directie er iets mee wilde dan moesten ze achter hun visie staan in woord en daad. Dat laatste betekende dat ze mandaat, budget en commitment kregen en budget om stap voor stap integraal risicomanagement binnen de organisatie vorm te geven. 

Ze bereidden samen een presentatie voor om op een speelse manier dit gedaan te krijgen. Om het onderwerp positief neer te zetten werd als doelstelling “op weg naar een hoger risk appetite” genoemd. Deze gedachte kwam bij een van de directeuren vandaan tijdens de voorbereidende gesprekken.

Het grootste risico wat je ooit hebt genomen

De presentatie startte met de vraag aan iedereen wat het grootste risico was wat men ooit had genomen.  De algemeen directeur (die zij hierop voorbereid hadden) kwam met een hilarisch verhaal van een rally door Frankrijk waar hij zonder een woord Frans te spreken aan mee deed. Iedereen moest keihard lachen en het ijs was gebroken.

Na de presentatie was iedereen akkoord om risicomanagement nu echt een keer structureel op te pakken. Daarmee had het nieuwe kernteam, in woord en daad een belangrijk commitment afgedwongen waar ze altijd op terug konden vallen. Ze kregen een budget voor de komende 4 jaren van 150.000 per jaar voor ondersteuning enGRC software.

Na de presentatie en goedkeuring van het beleid ging het heel snel. Ze ontwikkelden een standaard risicodialoog en rolden deze uit door de hele organisatie. In de dialoog was ook een gedeelte waarin input werd geleverd aan het risk control framework; een standaard lijst aan risico’s en bijhorende beheersmaatregelen. Per risicodialoog werd gevraagd of het risico’s van toepassing was, en zo ja, of ze ook de beheersmaatregelen hadden en daarmee in control waren.

Door deze aanpak konden ze een snel een integraal beeld schetsen welke afdelingen de meeste risico’s liepen.  Zo was het hoofd van het afdelingshoofd projecten rood aangelopen toen er geen risico’s van zijn afdeling waren gerapporteerd in de integrale rapportage. Dit terwijl iedereen wist dat hij toch zeer grote risicovolle projecten aanstuurde.  Hij kreeg daardoor toch heel veel vervelende vragen en gaf aan zeer snel een risicodialoog te organiseren.

Steeds meer mensen meldden zich aan voor interne risicomanagement online trainingen die ze maandelijks verzorgden. Het onderwerp begon te leven en er kwamen steeds meer vragen uit de organisatie zelf om risicodialogen te organiseren. De sessies smaakten naar meer en kwamen echt uit de organisatie zelf.

Toen hij aan het einde van het jaar terugkeek naar wat hij allemaal bereikt was hij oprecht gelukkig. Op de eerste dag van zijn vakantie pakte hij wederom zijn sportschoenen nieuwsgierig wat 2022 hem zou brengen.