Succesvol risicomanagement begint in de 1e lijn
Een serie blogs over succesmanagement.
In een van mijn vorige blogs zijn de 3 Lines of Risk besproken. Daarin geef ik aan dat veel risicomanagement in de tweede lijn wordt uitgevoerd, terwijl het eigenlijk in de eerste lijn zou moeten worden gedaan. De eerste lijn is immers verantwoordelijk voor het in kaart brengen van de voor haar relevante risico’s en het beheersen van deze risico’s met maatregelen.
De eerste lijn ziet niet altijd het belang of de toegevoegde waarde van risicomanagement en kan het als bureaucratisch ervaren. Dat de eerste lijn de toegevoegde waarde van risicomanagement niet ervaart komt voor een belangrijk deel door een gebrek aan kennis en ervaring. Onbekend maakt immers onbemind.
Door Geert Haisma. Hij is directeur Fully in Control en al 25 jaar gericht op nieuwe ontwikkelingen die doelbereiking effectief en succesvol kunnen maken. Hij is verbonden aan Universiteit Twente en moderator van de public peer group van het Controllers Netwerk.
Voor de implementatie van risicomanagement in de organisatie gaat het er vooral om de risico-eigenaren in de eerste lijn bewust te maken en laten leren volgens het leerprincipe van voordoen, meedoen, zelf doen om zelf de toegevoegde waarde van risicomanagement te ontdekken.
Vermijd ‘zwevende’ risico’s
Voor de implementatie van risicomanagement is er eerst een duidelijke structuur nodig van doelen, processen en eigenaren. Risico’s moeten altijd een directe relatie hebben met een doel, proces of project (dat noemen we de ‘context’ van het risico). Als een risico niet direct gerelateerd is aan een doel, proces, project of norm, etcetera, dan ontstaat er een lijst met ‘zwevende’ risico’s waarvan inderdaad vraagtekens kunnen worden gezet bij de toegevoegde waarde. Een manager of bestuurder wil zich immers alleen bezig houden met risico’s die daadwerkelijk zijn doel bedreigen of proces kunnen verstoren.
Vergroot kennis en ervaring
De valkuil voor de implementatie van risicomanagement is dat ‘afdelingsmanagers’ vaak wordt gevraagd hun risico’s te benoemen, maar daar zelden goede feedback op krijgen. Bij het opdoen van kennis over risicomanagement, gaat in eerste instantie niet om de kwantiteit maar om de kwaliteit. In plaats van meteen een heel risicoprofiel op te stellen dat maar beperkt wordt besproken, is het aan te bevelen iedere manager één risico helemaal te laten uitdiepen en daar ook uitgebreide feedback op te geven. Onder uitdiepen versta ik dan het in kaart brengen van de risicogebeurtenis inclusief de oorzaken en gevolgen. Vervolgens kunnen dan maatregelen worden bedacht op de oorzaken en gevolgen om het risico te verkleinen. Als je met een klacht naar de dokter gaat, wil je immers ook dat hij onderzoek doet naar de oorzaak en het juiste medicijn voorschrijft, in plaats van je met een paracetamol naar huis te sturen.
Zes stappen
Om bovenstaande te realiseren noem ik hieronder een zestal stappen, die kunnen helpen om risicomanagement effectief bij de eerste lijn onder de aandacht te brengen en de kennis en ervaring te vergroten.
1) Structuur: Basis leggen voor eerstelijnsrisicoprofiel – Relatie met doelen en activiteiten bepaalt wie waarvoor verantwoordelijk is
Dit onderdeel is de basis voor effectief risicomanagement. Door vanuit de context te werken zal ook het volwassenheidsniveau groeien. Stappen om dit te bereiken zijn:
A- In kaart brengen belangrijkste:
– Doelen
– Processen (primaire en secundaire processen)
– Projecten
– Wetten (Compliance)
B- Koppelen van verantwoordelijken aan bovenstaande onderwerpen. Deze verantwoordelijken zijn eveneens direct verantwoordelijk voor de risico’s per doel / proces / project / wet.
2) Met een voorbeeld (voordoen) zorgdragen dat eerste lijn meer kennis en ervaring krijgt in risicomanagement om vervolgens één risico uit te werken en daar feedback op te geven (zelf doen)
- Eigenaren vragen naar het belangrijkste risico voor hun doel/proces/project/wet,
waarbij ook de oorzaken en gevolgen worden benoemd. - Eigenaren vragen kans en gevolg in te schatten (financieel en impact op doel/proces/project/wet)
- Eigenaren vragen naar mogelijke beheersmaatregelen op oorzaken/gevolgen en hun effect
- Eigenaren vragen naar de kosten van de voorgestelde beheersmaatregelen
- Eigenaren vragen een kosten- / effectiviteitsafweging te maken van maatregelen
3) Beoordelen van het onder punt 2 uitgewerkte risico en geven van individuele feedback
Uitgebreide feedback zodat eerste lijn leert om in de toekomst risico’s zelf beter te kunnen ‘managen’.
4) Risicoprofiel compleet maken
Eerste lijn vult, naar voorbeeld van belangrijkste risico en feedback, de lijst met strategische en tactische risico’s aan voor zichzelf.
5) Integreren informatie over risico’s in bestaande management rapportages
Van aparte risicorapportages naar geïntegreerde rapportages. Vermelden van de belangrijkste risico’s bij de doelen, processen, projecten, etc en wat eraan gedaan wordt om deze risico’s te beheersen. Daarmee worden doelen, activiteiten en risico’s conform bovenstaande piramide in hun onderlinge samenhang weergegeven in plaats van als losse ‘zwevende’ elementen.
6) Vastleggen opgetreden incidenten en kosten (wat kosten risico’s)
Monitoren welke risico’s zich daadwerkelijk voordoen en wat de gevolgen hiervan zijn. Op basis van deze informatie overwegen om bij te sturen. Een ezel stoot zich immers niet tweemaal aan dezelfde steen!
Door het doorlopen van dit stappenplan zullen eerstelijns managers er meer bewust van worden dat het actief beheersen van risico’s helpt om meer succesvol te zijn in het bereiken van hun doelen of resultaten. Vanuit de bewustwording en opgedane kennis wordt de kans vergroot dat ze het uit zichzelf willen gaan gebruiken. Een noodzakelijke stap voor succesvolle implementatie van risicomanagement.
Alle blogs van Geert Haisma voor u op een rij gezet.
(foto: Andrea Piacquadio, Pexels)