Menukaart risicomanagement

Om een grote organisatie te helpen risicomanagement aan het management te verkopen heb ik een keer deze menukaart risicomanagement gemaakt. Elke afdeling of project mocht (niet verplicht) haar eigen menukeuze maken. En er mocht buiten de P&C cyclus gegeten worden. ….

Voorgerecht

Risicomanagement en cultuur (0,5 dag)

Doelgroep: management teams

De risicohouding van uw organisatie is zeer bepalend voor het risicoprofiel. Een gezonde mix tussen risiconemende en risicomijdende medewerkers draagt bij aan een goed risicoprofiel.

Binnen organisaties wordt over het algemeen niet transparant gesproken over risico’s. We vertellen liever over successen dan over (mogelijk) falen – vaak uit angst hier op afgerekend te worden. Veel risico’s worden dan ook pas ontdekt als de meeste beheersmaatregelen geen nut meer hebben.

Een meer open cultuur is er een waar leiding en medewerkers bij het nadenken over te bereiken doelen ook denken aan mogelijke beren (risico’s) op de weg naar het doel en hoe hier mee om te gaan.

Vragen die tijdens de workshop beantwoord worden: hoe zorgt u voor een alerte en kritische blik van medewerkers; wat is uw meld-cultuur en hoe creëert u een organisatie waarin risico nemen en risico beheersen hand in hand gaat?

• Risicogedrag

• Risicohouding

• Wat veranderd een risicohouding?

• Risicocultuur; nudges en aanspreekcultuur

• Hoe werkt het in kleine teams?

• Hoe werkt het voor de hele club?

Hoofdgerecht

Risicoanalyse  (0,5 dag )

Doelgroep: organisatie, selectie van medewerkers, afdelingen

U wilt graag een risicoanalyse uitvoeren binnen uw afdeling. Omdat hierbij meerdere specialismen betrokken zijn, is het van belang dat u discipline overstijgend kijkt voor welke medewerkers deze sessie van belang is. Deze training is praktijkgericht: naast het aanbod van een theoretisch kader wordt er daadwerkelijk een risicoanalyse uitgevoerd. Er zal een intake plaatsvinden om de analyse zo goed mogelijk voor te bereiden en aan te laten sluiten bij het onderwerp. Zie meer informatie blog over risicodialoog.

Inleiding en risico-identificatiestructuur

Inleiding en doelstellingen

Context analyse

Risico-identificatie (theorie en praktijk), vastleggen in versnellingskamer Naris

Stemmen kans en impact

Bespreken perceptie verschillen

Dessert

Verankering risicomanagement (0,5 dag)

Doelgroep: managementteams /verantwoordelijken

Risicomanagement kent veel externe drijfveren, zoals wetgeving en verantwoording. Als u risico’s blijvend efficiënt en tijdig wilt beheersen, dan moet u risicomanagement verankeren binnen uw organisatie.

De sleutel tot verankering ligt in het besef dat risicomanagement een instrument is om processen, ten behoeve van de door het directie vastgestelde doelstellingen, goed te sturen en beheersen. Verankering betekent dat dit besef breed in uw organisatie wordt onderschreven: niet omdat het moet maar omdat elk niveau in de organisatie het nut er an inziet.

In deze workshop wordt, met behulp van diverse best practices, het containerbegrip risicomanagement en de complexiteit van verankering teruggebracht tot een goed uitvoerbaar stappenplan. Aan bod komen onder meer

  • Inleiding risicomanagement
  • Positionering risicomanagement en instrumenten
  • plan van aanpak implementatie
  • faal en succesfactoren

De gemeente Arnhem heeft haar eigen menukaart. Ook een mooi voorbeeld.

Pas op voor micromanagement op foutencultuur

Sommigen dingen zijn onomstotelijk: de buitenwereld wil verrassingen vermijden en daarom tijdig informatie ontvangen. Governance en het begrip transparantie zijn in dit licht nauw met elkaar verbonden. Toch is het melden van fouten en risico’s geen standaard menselijke eigenschap waardoor deze verrassingen de bestuurders vaak veel te laat bereiken.  Een bestuurder kan zich echter niet achter dit feit verschuilen, omdat hij óók verplicht is een goed risicomanagement in te richten; niet alleen qua proces maar vooral qua cultuur.

Onze huidige wereld wordt door alle social media voortdurend transparanter. Zelfs traditioneel ‘gesloten bolwerken’ als FBI en Goldman Sachs krijgen tegenwoordig te maken met gaten in hun defensie. Er zijn meerdere prangende voorbeelden bekend waarbij informatie naar de pers en naar toezichthouders werd gelekt. Hierdoor eisen toezichthouders steeds meer transparantie van organisaties, wat vaak weer extra toezicht of scherpe maatregelen tot gevolg heeft.

Praktijkgeval: meer toezicht en slechtere kwaliteit?

Tijdens een van mijn colleges uitte een accountant het gevoel dat tegenwoordig bijna elke fout van een accountant direct bij de AFM gemeld wordt. Of dit daadwerkelijk het geval is is niet essentieel. Wat echter wel duidelijk is, is dat na alle incidenten rondom de kwaliteit van de accountancy toezichthouders steeds strenger zijn geworden.

Deze extern afgedwongen transparantie zorgt ervoor dat men intern geen fouten meer durft te maken en te delen. Jammerlijk, want juist door het leren van elkaars fouten wordt de kwaliteit gewaarborgd. Tijdens de discussie werd vooral de veiligheid van de organisatie vaak benoemd. Is een organisatie niet bedoeld om bescherming te bieden?

Belangrijk onderdeel is vaak de registratie van fouten en bijna fouten. De verplichte registratie maakt medewerkers angstig om zaken vast te leggen hoe makkelijk het meldsysteem ook is.

Wat zegt Van Manen? 

2.6.1 Regeling voor melden van (vermoedens van) misstanden en onregelmatigheden. Het bestuur stelt een regeling op voor het melden van (vermoedens van) misstanden en onregelmatigheden binnen de vennootschap en de met haar verbonden onderneming. De regeling wordt op de website van de vennootschap geplaatst. Het bestuur draagt zorg dat werknemers zonder gevaar voor hun rechtspositie de mogelijkheid hebben een melding te doen.

2.6.2 Informeren voorzitter raad van commissarissen.  De voorzitter van de raad van commissarissen wordt door het bestuur onverwijld geïnformeerd over signalen van (vermoedens van) materiële misstanden en onregelmatigheden binnen de vennootschap en de met haar verbonden onderneming.

De governance code van Van Manen gaat best ver met  ‘vermoedens van materiele misstanden en onregelmatigheden’ signaleert. Toch legt deze code de meldplicht vooral intern (naar de RvC) en wordt de bescherming van medewerkers benadrukt.

Een gezonde foutencultuur

Welke conclusie kunnen we nu trekken? Toezicht dient zich naar mijn idee vooral te richten op het beoordelen van een gezonde foutencultuur en moet zeker niet doorslaan in micromanagement: dit werkt averechts. Een centraal registratie systeem is een prima eis, maar ga er niet in kijken als toezichthouder. Wel kun je door overall rapportages monitoren of er daadwerkelijk incidenten gemeld worden. Ook kunnen trends worden gesignalieerd. Maar ga niet op individuele incidenten in (tenzij de top 5 en hetgeen wettelijk verplicht) en bewaak de veiligheid van de individuele werknemer.

Gelukkig geeft de AFM zelf ook aan dat een goede omgang met fouten zorgt voor betere kwaliteit van dienstverlening, voor betere financiële prestaties en voor meer ethisch gedrag. Schermafbeelding 2018-11-11 om 17.26.09.png

Tot slot denk ook ìk dat de accountants moeten veranderen en dat ze daar ook al mee bezig zijn. Persoonlijk zie ik de oplossingen vooral in de governance/maatschap- structuur liggen, en veel minder in het micromanagement op incidenten.

Chief risk officer zorgt voor risico-nemend gedrag

Na het Enron schandaal in 2001, en de direct daarop ingevoerde Sarbanes-Oxley Act van 2002 zette een interessante ontwikkeling in: veel banken begonnen met het aannemen van chief risk officers (CRO’s). Bij de Amerikaanse grote banken groeide in 6 jaar het percentage CRO’s zelfs van minder dan 1% (2000) naar bijna 25 % in 2006.

Als weldenkend mens zou je menen dat de banken daarmee risicomijdender waren geworden, maar uit onderzoek bleek juist het tegendeel: Het aannemen van een CRO zorgde tegen alle verwachtingen in voor méér risicovol gedrag. Het onderzoek in kwestie nam de handel in derivaten bij 157 grote banken van 1995 tot 2010 onder de loep. Deze derivaten vormen een belangrijk onderdeel van de CRO toolkit.

Vrijbrief

De onderzoekers noemden een aantal redenen als grondslag voor dit fenomeen. De meest dwingende echter, suggereerde dat de aanstelling van een C-suite risk officier een vorm van ‘morele licentie’ (vrijbrief) is.

Letterlijk schreven zij: Bij het aanstellen van CRO’s, hebben de banken aan medewerkers het gevoel gegeven dat zij bij een ‘risicovrije’ onderneming werkten, want de risico’s werden gemanaged door de CRO. Door dit misplaatste gevoel van veiligheid en schijnbeheersing lieten medewerkers hun eigen zelfbeheersing om te veel risico’s te nemen los.

Focus op risk adjusted return

Op hun beurt bevorderden deze risico-experts (CRO’s met kwantitatieve achtergrond) nieuwe derivaten als onderdeel van het sturen op risico’s en rendement (risk adjusted return), in plaats van alle risico’s te willen vermijden. Deze mindshift (van risicomijdend naar risiconemend gedrag) werd vervolgens versterkt door de focus en interne druk op rendement van CEO’s en institutionele investeerders.

Conclusie

Een CRO zorgt dus voor meer risico-nemend gedrag. De vraag is of dit nu slecht is. In ieder geval verdwijnt op deze manier een stuk “tegenkracht” in de organisatie terwijl naar de stakeholder toe wel het beeld leeft dat door de CRO men meer in control is.

Naar mijn inziens dient het persoonlijkheidsprofiel van een CRO toch wat minder kwantitatief enthousiast te zijn en meer de focus op cultuur te leggen. Een goede risicosessie of risicodialoog is belangrijker om het risicobewustzijn te vergroten.

 

 

Verhoog je risk appetite en zeg je baan op

Heb je je baan weleens opgezegd zonder dat je een andere baan had?

Deze vraag stel ik vaker om te peilen of mensen risico-nemend, of juist risicomijdend zijn. 3 van de 40 mensen staken deze specifieke keer hun hand op. Tijdens de pauze werd ik aangesproken door iemand, die haar hand stil in haar schoot had laten liggen. Ze stelde dat je wel financieel de mogelijkheid moet hebben om daadwerkelijk je baan op te kunnen zeggen. En eigenlijk had ze wel gelijk. Uiteraard is het makkelijk praten als je geld genoeg hebt om het risico van een paar maanden zonder werk op te kunnen vangen. Je zou dus kunnen zeggen dat je financiële positie bepaalt, in hoeverre je grote risico’s kunt nemen. Dit geldt overigens ook voor bedrijven: cashflow is king.

Kortom: je bent in de loop van de jaren totaal afhankelijk geworden van één werkgever! De vraag is hoe je jezelf in zo’n kwetsbare positie hebt kunnen manoeuvreren. Het vervelende is dat dit soort processen zich vaak sluimerend voltrekken, en je een kikker in een langzaam opwarmende pan met water bent geworden.

Wat nu?

De natuurlijke neiging van veel mensen is om zich in deze situatie in te houden, en risicomijdend gedrag te vertonen. Maar eigenlijk zou je juist meer risico’s moeten nemen. Hoe krijg je dit voor elkaar?

  • Je kunt beginnen meer risico’s te nemen in je organisatie zelf. Je sterker uitspreken in meetings, een opleiding vragen, nieuwe ideeën lanceren.
  • Sluit je aan bij de mensen die risico’s nemen, die durven.
  • Je kunt meer de buitenwereld opzoeken, bijvoorbeeld door gastcolleges te geven. Ook kun je meer netwerkevents bezoeken om nieuwe mensen te leren kennen.
  • Je kunt artikelen gaan schrijven of zelfs boeken.
  • Je kunt aangeven dat je minder gaat werken, bijvoorbeeld 90 %.

Weerbaar

Door bovenstaande acties wordt het onvermijdelijk weer spannender op je werk.

Hier kunnen zowel je werkgever als jijzelf van profiteren. Het is wel belangrijk je te realiseren dat bovenstaande acties ook als signalen naar de werkgever kunnen worden gezien. Maar is dat erg?

 

 

 

Risicomanagement in de lijn

Eigenlijk mag je niet met risicomanagement starten als de “tone at the top” niet goed is. Daarom wordt er relatief veel aandacht besteed om de top mee te krijgen. Immers als de directie het juiste gedrag laat zien volgt de rest van zelf. Toch is de praktijk vaak weerbarstig. Met enige regelmaat zie ik dat de top ….

  • risicomanagement teveel als eenmalige exercitie ziet (los van de reguliere business)
  • risicomanagement te veel aan de tweede lijn overlaat.
  • vergeet de stukken door te communiceren naar het midden management
  • onvoldoende het besef heeft dat het bij risicomanagement direct om hun eigen management stijl gaat
  • niet in staat is om zich kwetsbaar op te stellen naar de rest van de organisatie

Mood at the middle

Naast de tone at the top is het daarom van belang het middenmanagement minstens dezelfde aandacht te geven. Als je risicomanagement echt laat aansluiten bij de manier waarop zij managen en beslissingen nemen heb je kans op een echte cultuur verandering. Zij zitten immers dichter op de kernactiviteiten en hebben contacten met de belangrijkste klanten/ afnemers. Daarmee zijn zij de oren en ogen van de organisatie welke signalen in een vroeg stadium kunnen opvangen. Schermafbeelding 2016-04-13 om 21.59.09.png

Verleiding

Als je niets geeft kun je ook niets terug verwachten. Het midden management dient daarom verleid te worden.  Dus…..

  • Organiseer een serie goede risico-dialogen voor het eigen management team. Niet eenmalig, maar bijv. 4 dialogen per jaar. Dit zorgt voor de juiste druk om ook om de sessies heen risicobewust te handelen. Zorg voor een goede intake om de ambities zo veel mogelijk in de sessie te verwerken. Sluit hierbij zo veel mogelijk aan bij de doelstellingen van de afdeling. Randvoorwaarden zijn veiligheid en minimale belasting. Een veilige omgeving creëer je door de afspraak dat alles binnen de afdeling blijft behalve als daar overeenstemming over is. Qua belasting moet een sessie van 1.5 a 2 uur voldoende zijn. Gebruik daarbij een versnellingskamer zodat men daarna ook echt klaar is.
  • Bouw een risicoregister of kennisdatabase zodat het middenmanagement het wiel niet opnieuw hoeft uit te vinden.
  • Vergroot de kennis en kunde op gebied van risicomanagement door iemand in zijn eigen omgeving te trainen. Deze medewerker (soms risicomanagement coördinator genoemd) kan hem helpen bij analyses en rapportages. Organiseer een training voor de risico-coördinatoren van de verschillende afdelingen waarbij vooral op houding en gedrag wordt ingegaan.
  • Zorg voor (positieve) groepsdruk binnen de afdeling door het integrale beeld van de afdeling te laten zien. Wie heeft de meeste risico’s en wie de minste?schermafbeelding-2016-10-09-om-12-19-41

Risico-acceptatie sociaal domein

2015 is inmiddels in volle gang en dat betekent dat voor gemeenten de decentralisaties nu daily business zijn. Wij zien veel gemeenten die de basis op orde hebben. Daarnaast betekent dat dat zich bij alle gemeenten opstartproblemen voordoen. Telefoonnummers en mailadressen van wijkteams die niet beschikbaar zijn, KCC weet niet waarheen door te verwijzen, ICT dat niet optimaal functioneert.. Dit soort opstartproblemen zijn logisch. Gelukkig hoor ik daarbij dat de burger dit vaak niet eens merkt.

In 2014 hebben wij vele gemeenten geholpen met het succesvol implementeren van onze strategiekaart als stuurinstrument voor het management op de decentralisaties. Deze strategiekaart wordt ook gebruikt als instrument om verwachtingen te managen naar de raad. De afgelopen maanden sta ik steeds vaker voor raden om bij hen de discussie aan te wakkeren over risicoacceptatie en de risicoregelreflex. Zo ook afgelopen week. Met een zeer enthousiaste groep raadsleden, leden van het college en hoger management hebben wij de discussie gevoerd. Wij hebben hen risico`s voorgelegd met de vraag scoor deze nu eens op de mate van impact op het imago van de gemeente en de mate van beïnvloedbaarheid door de gemeente. Deze twee assen gaven een grote impuls aan de discussie over risicoacceptatie.

Opmerkingen B&W
Burgemeester: `De discussie was bijzonder zinvol. Het feit dat je met de raad, met hoger management en leden van college de dialoog voert, in plaats van in losse groepen was zeer waardevol. En smaakt naar meer wat mij betreft.`
Wethouder: `De spanning tussen politieke voorkeuren, maar ook het belang van onze gemeente als geheel was erg mooi om te zien. Politiek overstijgende discussies zijn zeker op dit domein af en toe gewenst.`

Interessante lessen die ik uit deze avond heb getrokken zijn:

  • Hoe pak je het als gemeente op als een incident zich voordoet? Maken wij een pas op de plaats door eerst intern hoor- en wederhoor toe te passen, alvorens wij naar buiten treden? En hoe treden wij dan naar buiten?
  • Voor individuele raadsleden welke door persoonlijke omstandigheden (partner, kinderen, neef) zeer betrokken zijn bij het onderwerp,  dient wellicht apart proces in te richten?
  • En accepteert de buitenwereld risico`s? En welke risico`s? Dit zet mij aan het denken over de risicoacceptatie van burgers. Is het wenselijk dat de gemeente 1x per twee jaar een enquête
    onder haar burgers verspreid om de risicoacceptatie te meten? Of ligt er een rol voor raadsleden om deze risicoacceptatie te peilen?
  • Er doen zich nu ook incidenten voor op het veiligheidsdomein en maakt de raad een onderscheid in haar acceptatie van incidenten op het veiligheidsdomein en incidenten op het sociale domein
  • En is zoiets als imago schade voor alle gemeenten in Nederland? Als de gemeente Amsterdam slecht in het nieuws komt over een incident met jeugdzorg, raakt dat de gemeente Arnhem dan ook?

Tot slot
Uit de discussies bleek dat het wel degelijk zeer zinvol is om van tevoren afspraken te maken hoe raad, college en organisatie met elkaar om gaan ten tijde van een incident.  Een kader met een aantal heldere procesafspraken gaat hier zeker bij helpen.

Risicomanagement lessen van de berging van de Koersk

Schermafbeelding 2014-12-01 om 15.02.58Op 12 augustus 2000 zonk het in de Barentszzee na een ongeluk. Bij het ongeluk kwamen alle 118 opvarenden om het leven. Aanvankelijk duldde Rusland geen buitenlandse hulp en probeerde men zelf de bemanning te redden met onder andere Priz-klasse reddingsonderzeeërs.  Na het bergen van de bemanningsleden bleek uit een briefje van een bemanningslid dat zeker 23 mensen nog leefden twee dagen na de ramp, dankzij een grote luchtbel in de Koersk.

Anette Mikes en Amram Migdal hebben onderzoek gedaan naar de mislukte reddingsoperatie en trekken een parallel tussen dit soort complexe operaties en de complexiteit van netwerkorganisaties. Via een uitgebreide bestudering van beschikbare documentatie, getuigenverslagen en interviews hebben zij een reconstructie gemaakt van de gebeurtenissen.

Waarom het mis ging?

Er waren meerdere partijen en landen betrokken bij de reddingsoperatie en dat bracht scherpe onopgeloste meningsverschillen over wat er op het spel stond.  Dit leidde tot verschillende agenda`s per land, welke verschillende aandacht van de landelijke media kregen. Door deze beeldvorming  ontstonden verschillende prioriteiten bij de sleutelfiguren, welke de beslissingen dienden te nemen.

Een aantal zaken die verder bij de reddingsoperatie mis gingen:

  • Niet flexibele / starre houding van de Russische organisatie
  • Aanwezigheid van verschillende strijdige doelstellingen
  • De aanwezigheid van conflicterende evaluatieprincipes welke gebruikt werden om de doelen te prioriteren.
  • Barrières qua communicatie en gebrek aan vertrouwen onderling
  • Beperking van denkvrijheid / men was erg gehouden aan vaste routines en mocht niet `out-side the box` denken

Lessen

Dit soort reddingsoperaties vragen niet alleen een technische oplossing maar  vooral om sterk leiderschap als antwoord op de conflicterende doelstellingen en waarden.  Dat betekent dat eigenbelang en territoriumdrift opzij gezet dienen te worden om de noodzakelijke  samenwerking mogelijk te maken.  Sterk leiderschap dient zich in elk geval te vertalen naar de inrichting van een pluriform control proces om de – in elke organisatie aanwezige-  conflicterende doelstellingen, met daarachter conflicterende waarden en concurrerende expertise, om te vormen naar 1 uniform doel.

Daarnaast draagt Mikes aan dat organisaties die een breed integraal verantwoordelijkheidsgevoel voor het gemeenschappelijke doel weten te bereiken,  beter in staat zijn zich aan te passen in crisis-situaties.