Hoe beheers je risico’s effectief?
Een serie blogs over succesmanagement.
Bij artikelen over effectief risicomanagement gaat het vaak over meer risicobewustzijn, cultuur en de ‘tone at the top’. De concepten en gedachten zijn niet verkeerd, maar ik heb ze zelden zien bijdragen aan meer effectief risicomanagement. Te abstract en te hoog-over zonder concrete handvatten.
Door Geert Haisma. Hij is directeur Fully in Control en al 25 jaar gericht op nieuwe ontwikkelingen die doelbereiking effectief en succesvol kunnen maken. Hij is verbonden aan Universiteit Twente en moderator van de public peer group van het Controllers Netwerk.
Effectief risicomanagement begint met het risico-eigenaarschap dat ik in de vorige blog heb beschreven. Als duidelijk is wie verantwoordelijk is voor een risico, dient de volgende vraag zich aan: Hoe beheers ik een risico effectief?
Om een risico effectief te beheersen, moet eerst duidelijk zijn wat het risico is. In de praktijk zie ik allerlei risico’s benoemd, met daarop beheersmaatregelen. Neem als voorbeeld het frauderisico. Als maatregel wordt hier vaak het vier-ogen principe genoemd. Maar is dat een effectieve maatregel? De afgelopen maanden zijn er weer diverse fraudes naar voren gekomen bij bijvoorbeeld Stadgenoten en Vestia, ondanks vier-ogen principes. Ook de CEO fraude en datamanipulatie komt regelmatig voor. Hoe kan zo’n fraude risico nou effectiever worden beheerst?
Beheersmaatregelen niet voor risico
De essentiële denkfout die veel organisaties maken is dat er beheersmaatregelen worden getroffen op een risico. Beheersmaatregelen richten zich echter niet op het risico. Een risico is immers een mogelijke gebeurtenis en die gebeurt wel of niet. Om te beïnvloeden of een risico al dan niet optreedt kan wel iets worden gedaan aan de oorzaken. Om het frauderisico te beheersen is het dus van belang om de verschillende oorzaken van fraude in kaart te brengen en vervolgens maatregelen te treffen om deze oorzaken te beheersen. Het vier-ogen principe kan daar één van de maatregelen van zijn.
Een metafoor: Iemand gaat naar de dokter en zegt ik voel me niet zo lekker. Dokter zegt: neem een paracetamol. Paracetamol is hier de beheersmaatregel op een gebeurtenis. Gelukkig past onze medische wereld meer oorzaakanalyse toe. Stopt energie in het onderzoeken wat er echt aan de hand is en wat de oorzaak is van het niet goed voelen. Pas als de oorzaak bekend is, kunnen effectieve maatregelen worden genomen. Anders is het schijnbeheersing.
Kijk naar oorzaken en gevolgen
Om een risico goed te beheersen, moet dus niet naar de gebeurtenis zelf worden gekeken, maar naar de oorzaken en de gevolgen. Onderstaande figuur is een illustratie voor het brandrisico dat inzichtelijk is gemaakt volgens de bowtie methode (omdat het op een vlinderdas lijkt). In deze methode staat de gebeurtenis centraal. Links staan de oorzaken die tot de gebeurtenis kunnen leiden. Rechts staan de gevolgen die de gebeurtenis met zich mee kan brengen. Om het risico van brand effectief te beheersen, moeten dus maatregelen worden getroffen op de oorzaken, om de kans op brand te verkleinen. Ook kunnen maatregelen worden getroffen op de gevolgen, om de effecten bij optreden van de brand te verkleinen.
Om deze meer uitgebreide benadering toe te passen op alle risico’s is intensief, maar bij de top risico’s – strategisch en tactisch – helpt dit om de juiste keuzes te maken en is de noodzaak om ze beter te beheersen ook het grootst. Maatregelen worden altijd getroffen op oorzaken om kansen te verkleinen of op gevolgen om deze te verkleinen.
Zolang we doorgaan met maatregelen benoemen op risico’s zonder de onderliggende oorzaken te onderzoeken en beheersen, hoeven we ons niet te verbazen dat risico’s zich keer op keer toch weer voordoen. Effectieve risicobeheersing begint met een goede analyse van het risico.
Alle blogs van Geert Haisma voor u op een rij gezet.