3 Lines of Risk

Wat zijn de drie meest voorkomende signalen van ineffectief risicomanagement?

Een serie blogs over succesmanagement.

Recent heeft het Institute of Internal Auditors hun 3 Lines of Defence Model aangepast. Niet alleen is in de naam het woord 'Defence' verdwenen, maar ook de positie van risicomanagement is explicieter geworden. Vooral voor de eerste lijn is het nu heel duidelijk: zij zijn verantwoordelijk voor de identificatie van risico's en het beheersen ervan. De tweede lijn heeft een ondersteunende en adviserende rol in complexe situaties. Een mooie aanleiding om nog eens stil te staan bij effectief risicomanagement.

Door Geert Haisma. Hij is directeur Fully in Control en al 25 jaar gericht op nieuwe ontwikkelingen die doelbereiking effectief en succesvol kunnen maken. Hij is verbonden aan Universiteit Twente en moderator van de public peer group van het Controllers Netwerk.

Effectief risicomanagement

Vanuit de praktijk zijn er een drie rode draden die iedere keer weer naar voren komen wanneer risicomanagement niet effectief blijkt te zijn:

  1. Zwevende risico's
  2. Geen risico-eigenaarschap
  3. Geen aanspreekcultuur

1. Zwevende risico's

Van zwevende risico's is sprake als een organisatie met lijsten risico's werkt die nergens aan zijn gekoppeld. Als risico's niet vanuit een context worden geïdentificeerd voelen ze vaak als niet relevant en doet niemand er iets mee. Dit leidt tot negatieve energie omdat deze aanpak ervoor zorgt dat de organisatie een negatief en bureaucratisch beeld krijgt van risicomanagement.

Door vanuit doelstellingen, processen of projecten risico's te benaderen ontstaat een duidelijke link naar de gebeurtenissen die zorgen dat een doel niet wordt gehaald of een resultaat niet wordt behaald. Dit leidt tot relevante strategische en tactische risico’s die alleen maar kunnen worden bepaald door de doel of proces/project verantwoordelijke. Eerste lijn dus, in plaats van welwillendheid van de tweede lijn die leidt tot zwevende risico's.

2. Geen risico-eigenaarschap

In veel organisaties bestaat discussie wie verantwoordelijk is voor welke risico's. Als risico's worden gekoppeld aan doelen en processen/projecten is echter meteen ook duidelijk wie verantwoordelijk is voor welk risico. Het zijn dezelfde personen als de doel en proces/project eigenaren.

Een bovenliggende complicatie ligt vaak in het feit dat niet altijd duidelijk is wie verantwoordelijk is voor welk doel of welk proces, zeker als een keten door afdelingsgrenzen heen loopt. Als dit het geval is, is er aanvullend sprake van een besturingsrisico, waardoor de organisatie niet zo efficiënt of effectief werkt als zou kunnen. Dit risico ligt altijd op het bordje van de bestuurder en is typisch iets dat door de derde lijn in een audit kan worden gesignaleerd.

3. Geen aanspreekcultuur

In veel organisaties, zeker in de publieke sector, vult de tweede lijn risico's in die eigenlijk door de eerste lijn zouden moeten worden geïdentificeerd en beheerst. Als de eerste lijn haar verantwoordelijkheid niet pakt en er ook niet op wordt aangesproken, is er feitelijk geen sprake van effectief risicomanagement.

Vanuit de gedachte van Succesmanagement is een eerstelijns manager verantwoordelijk voor twee dingen: zorgen dat zijn processen soepel lopen (+ effect) en zorgen dat ongewenste gebeurtenissen de output of resultaat niet verstoren (- effect). Zie hiervoor de driehoek van Succesmanagement.

Slechte ervaringen en gebrek aan kennis

Het nieuwe 3 Lines Model helpt om de effectiviteit van risicomanagement te vergroten door explicieter te wijzen op de eerstelijns verantwoordelijkheid. Maar veel eerstelijns managers zijn helemaal niet gecharmeerd van risicomanagement op basis van ervaringen die voortkomen uit de hierboven genoemde drie punten. Slechte ervaringen en gebrek aan kennis zullen een effectieve werking van risicomanagement in de weg staan.

De volgende keer kijken we naar een manier om de slechte ervaringen aan te pakken en het negatieve beeld om te buigen. Want zolang de eerste lijn de toegevoegde waarde van risicomanagement niet inziet, zal risicomanagement nooit echt van de grond komen.

Alle blogs van Geert Haisma voor u op een rij gezet.