Risicomanagement integreren in organisaties: 7 praktische tips
Tijdens de vijfdaagse opleiding risicomanagement van Alex van Groningen komt het onderwerp ‘het integreren van risicomanagement’ uitgebreid aan bod. Topdocent en risk-expert Urjan Claassen geeft alvast 7 tips die kunnen voorkomen dat risk management verzandt tot ‘vaktechnische eendagsvlieg’.
1. Kies de juiste invalshoek
“Het is belangrijk om allereerst een duidelijk onderscheid te maken tussen conformance en performance”, aldus Claassen. “Conformance is risicomanagement omdat het moet. Performance draait om het willen bereiken van een doel en het mijden van risico’s die dat in de weg staan.”
Het invullen van het belastingformulier is een typisch voorbeeld van conformance. De meeste mensen stellen het uit totdat de deadline heel dichtbij komt. Het boeken van een vakantie daarentegen is een voorbeeld van performance. Dat doen mensen maanden of soms wel een jaar van te voren omdat ze willen voorkomen dat vervelende verrassingen roet in het eten gooien.
Wat kunt u daarmee in uw organisatie? Claassen: “Kijk eerst naar wat er belangrijk is voor een manager. Voor een verzekeraar is dat bijvoorbeeld klanttevredenheid. Dat wordt sterk beïnvloedt door hoe snel de verzekeraar claims uitbetaalt. Dat is een onderwerp waar u met een manager over in gesprek moet gaan. Communicatie is key. Kom niet aanzetten met compliance issues, maar maak duidelijk dat u de manager gaat helpen zijn/haar doelen te realiseren. Wat is de ondergrens waarop klanten tevreden blijven? Bijvoorbeeld een 7,5. Maar de manager wilt graag minimaal een 8 scoren. Wat kan er allemaal gebeuren waardoor die score omlaag zou gaan en welke maatregelen kunt u nemen om die risico’s te mitigeren?”
De echte pijnpunten zitten meestal op strategisch niveau, niet op transactieniveau. Niet één klant wordt verkeerd geholpen, maar 20.000 klanten.
2. Zorg voor integratie met de planning & controlcyclus
Om risicomanagement te integreren is het belangrijk aan te sluiten bij bestaande ‘producten’, zoals maandrapportages, projectrapportages of forecasts. “Ga niet apart een risicorapportage opstellen”, zegt Claassen. “Stel, uw organisatie heeft een project lopen waarover u rapporteert als controller. U bespreekt dit periodiek met het management waarbij u langs een aantal pilaren – zoals tijd, budget en kwaliteit – de issues bespreekt. Voeg dan ook de pilaar ‘risk’ toe. U zit toch al bij elkaar om het project te bespreken, dus dat is een gouden kans om de belangrijkste risico’s langs te lopen.”
3. Stem de boodschap af op het aandachtsgebied van de ontvanger
Bepaal altijd eerst voor wie welke boodschap relevant is. Een directielid bijvoorbeeld moet het bedrijf vanuit een bepaald abstractieniveau bestuderen, dus te veel detail is voor hem/haar niet geschikt. Bij iemand op operationeel niveau kunt u meer in detail treden. Voor bijvoorbeeld een opleider is het verliezen van een licentie een strategisch risico. Dat vertaalt zich in een groot aantal ‘kleinere’ risico’s, zoals:
– Het slagingspercentage is te laag;
– Werving van opleiders/docenten is van onvoldoende niveau;
– Het examen is te makkelijk.
Het is ook belangrijk de juiste taal te spreken die een manager begrijpt. Een arts legt de diagnose aan de patiënt ook niet uit in het Latijn. Een taal die begrepen wordt draagt bij aan meer begrip en draagvlak. Bij een project bij een gemeente zou het bijvoorbeeld kunnen gaan over aanbestedingen, ziekteverzuim of schommelende grondstofprijzen, zaken die kunnen leiden tot een overschrijding van het budget of de duur van het project.
4. Benut de impact van soft controls
Voorbeeldgedrag speelt een ontzettend belangrijke rol bij het voorkomen van problemen. Het bestuur van een organisatie moet van dit belang doordrongen zijn. Als bijvoorbeeld een bestuurder van een woningcorporatie rondrijdt in een Maserati kan de organisatie moeilijk verwachten dat de medewerkers heel erg op de kleintjes letten. Of wanneer een bestuurder wordt veroordeeld voor belastingfraude, dan kan het bestuur moeilijk een medewerker verwijten dat hij of zij compliance niet naleeft. De belangrijkste les: voorbeeldgedrag kan risk control enorm versterken of verzwakken. Soft controls = hard impact.
5. Kijk niet alleen naar de risico’s, maar ook naar de opportunities
Vergeet niet om ook de upside te betrekken bij uw gesprekken met de business. Daar zijn managers heel gevoelig voor en het helpt zodoende om uw communicatie over risico’s zo effectief mogelijk te doen. “Breng in kaart welke risico’s de resultaten negatief kunnen beïnvloeden”, aldus Claassen. “Bijvoorbeeld, een toename van ziekteverzuim is negatief voor de kosten. Hiermee maakt u niet alleen de negatieve kant, maar ook de positieve kant inzichtelijk. Wanneer de manager het ziekteverzuim kan terugdringen is dat juist goed voor de kostenontwikkeling.”
6. Verbind risico’s aan de chain of command
In een grote complexe organisatie, zoals een ziekenhuis, wil de Raad van Bestuur toch periodiek geïnformeerd worden over de belangrijkste risico’s en maatregelen die genomen worden. Om periodiek te komen tot een dergelijk organisatiebreed risicoprofiel is het zaak dat de risico’s worden toegewezen aan de juiste eigenaren. In het geval van het ziekenhuis zou bijvoorbeeld de voorzitter van de medische staf de patiëntveiligheid het beste in zijn portefeuille kunnen hebben en het hoofd facilitair de harde veiligheidseisen (apparatuur, ICT, vluchtwegen, et cetera). Als verantwoordelijke voor risk hoeft u niet alle risico’s in detail te kennen, maar u heeft wel een aanspreekpunt nodig voor ieder risicogebied.
7. Als het geen risicomanagement mag heten, maak daar dan geen punt van
Risicomanagement is communicatie. Wanneer in een organisatie al verschillende maatregelen gebruikt worden voor risk & control, zoals de balanced scorecard of een kwaliteitsmodel, dan is het prima om daar vanuit risk management op aan te sluiten. Claassen: “Het meest effectief is om mensen aan te spreken op hetgeen waar ze al mee bezig zijn. Zo houdt een kwaliteitsmanager zich bijvoorbeeld bezig met het voldoen aan een kwaliteitskeurmerk. Daar kunt u dan mooi de koppeling mee leggen met risico’s. Wanneer u de Raad van Bestuur spreekt, verwijst u weer naar de maandrapportages. Enzovoorts.”
“Tot slot, houd het klein”, besluit Claassen. “Pas wanneer er grote afwijkingen van het plan zijn willen de mensen in de business een verhaal horen, maar ze willen vooral niet lastiggevallen worden met alle details. Risicomanagement gaat over praten, over effectief communiceren. Doe alleen de dingen die bij mensen landen. Pas andere labels toe als dat nodig is om de boodschap over te brengen. Anders is het zonde van uw tijd en energie.”
Urjan Claassen is een veel gevraagd adviseur en spreker over het inrichten van operationeel risicomanagement. Urjan Claassen is gestart als assistent-controller bij Philips Electronics N.V. waarna hij de overstap gemaakt heeft naar de openbare accountantspraktijk van Andersen. Hier heeft hij zich gespecialiseerd in jaarrekeningcontroles, financiële due diligence onderzoeken en IT-auditing. Deze specialisaties heeft Urjan voortgezet binnen KPMG Information Risk Management. Urjan is in 2005 gestart met Clascon Audit & Consulting, een adviesbureau gespecialiseerd in risicomanagement. Daarnaast is hij universitair docent Advanced Auditing aan de Nyenrode Business Universiteit en adviseur voor het IFAC (International Federation of Accounts) te New York op het gebied van risk & control systems.