Bedrijfscultuur bepalend

In tijden van economische neergang, beperkte fi nanciële ruimte en afnemende marges zijn onvoorziene verliezen als gevolg van risico’s meer dan ooit van invloed op het succes van de onderneming. Een eff ectief ingerichte risicomanagementfunctie voegt juist nu waarde toe aan de onderneming.

Uit onderzoek blijkt dat de bedrijfscultuur van invloed is op de kwaliteit van de implementatie van de risicomanagementfunctie. Het onderzoek ‘Enterprise Risk Management – The Full Picture’ van Aon Global Risk Consulting toont aan dat er een verband bestaat tussen bedrijfscultuur en de ‘maturity’ van implementatie van ERM.

De bedrijfscultuur geeft richting aan de wijze waarop en de mate waarin ERM binnen de organisatie wordt geïmplementeerd en dat heeft gevolgen voor het succes van ERM. Om de risicomanagementfunctie te optimaliseren is het raadzaam zich te realiseren welke bedrijfscultuur er binnen de onderneming overheerst en hoe de eff ectiviteit van ERM in de organisatie kan worden vergroot.

In bovengenoemd onderzoek is een model gebruikt dat onderscheid maakt tussen een viertal bedrijfsculturen. Aan de hand van deze verschillende bedrijfsculturen is gekeken in hoeverre ERM is ontwikkeld en aan welke componenten van ERM de meeste aandacht wordt geschonken. Op basis van de onderzoeksresultaten kan worden geconcludeerd dat bedrijven met een performancecultuur het best in staat zijn ERM te implementeren.

In dit artikel wordt een verklaring gezocht voor de onderzoeksresultaten en wordt deze aan de hand van praktijkvoorbeelden geïllustreerd om zodoende handreikingen te bieden voor een succesvolle implementatie van ERM. perForMancecuLtuur De performancecultuur is de bedrijfscultuur waarbinnen het implementatietraject van ERM het meest succesvol is. Ruim 47 procent van de ondervraagde bedrijven met een performancecultuur geeft aan ERM op een volwassen wijze te hebben geïmplementeerd.

Volwassen houdt in dat er sprake is van een binnen de organisatie geborgd iteratief risicomanagementproces. Een verklaring kan worden gezocht in het feit dat bedrijven met deze cultuur zich kenmerken door projecten die top-down worden opgelegd. Daardoor is dit type bedrijven beter in staat navolging op acties te geven.

Een valkuil hierbij is dat het lagere management en de operationele medewerkers door de veelal gebruikte top-down benadering geen kennis hebben van het ERM-implementatietraject en enkel de nieuwe taken uitvoeren die vanuit dit traject op hun takenlijst zijn terechtgekomen. Het is binnen deze bedrijfscultuur aan te bevelen om ook het bewustzijn van deze medewerkers te vergroten door training of simulaties.

Een keerzijde is tevens dat er weinig tot geen beroep wordt gedaan op de intrinsieke motivatie van het management en de medewerkers. Het ‘levend houden’ van het onderwerp ERM binnen een dergelijke organisatie is een grote uitdaging. Ter illustratie.

Een medewerker van een productielijn binnen een chemisch bedrijf controleert wekelijks het bezinksel in de oogdouches. De medewerker geeft aan dat deze controle niet wordt uitgevoerd, wanneer hij door vakantie of ziekte afwezig is. In het takenpakket van de manager van deze productielijn is het controleren van de oogdouches niet als activiteit opgenomen. Het zou helpen om de awareness van deze collega’s te vergroten door hen te betrekken bij de risicoanalyses. Tot slot blijkt dat binnen veel organisaties met een performancecultuur risicomanagement is geïnitieerd met als doel compliant te zijn met wet- en regelgeving (Tabaksblat, SOX e.d.).

ERM is hier minder gericht op het verbeteren van de prestaties van de onderneming. Het is daarom aan te bevelen het management door bijvoorbeeld een pilotstudy te laten ervaren dat risico’s ook een positieve invloed kunnen hebben op de bedrijfsprestaties.

ADMINISTRATION -CULTUUR
Bedrijven met een administration-cultuur hebben het idee dat alle processen (en derhalve ook de risico’s) goed op orde zijn. Uit het onderzoek blijkt dat de implementatie van ERM binnen de administration-cultuur in vergelijking met andere bedrijfsculturen het minst ver ontwikkeld is. Van de ondervraagde bedrijven met deze bedrijfscultuur blijkt maar 18 procent ERM op een volwassen wijze te hebben ingevoerd, en maar liefst 47 procent van de bedrijven zegt slechts onderdelen van ERM of ERM in het geheel niet te hebben ingevoerd.

Als mogelijke verklaring kan dienen dat ERM wordt geïnterpreteerd als een extra procedure. Wat binnen deze cultuur in de praktijk veelvuldig naar voren komt, is de angst van managers om nog meer procedures te moeten inrichten boven op de reeds bestaande. Zeker wanneer de toegevoegde waarde van ERM voor het management niet duidelijk is, bestaat het gevaar dat de procedure met minimale inspanning wordt afgedaan.

Aan het ERM-bewustzijn van de organisatie wordt in vergelijking met de andere culturen de minste aandacht besteed. Vaak blijft de implementatie van ERM bij het jaarlijks uitvoeren van de risk assessments en vindt er in de praktijk nauwelijks navolging plaats. Dit kan worden opgelost door vrijheid te geven in de inrichting van het risicomanagementproces. Dat voorkomt het ‘papieren tijger’-gevoel bij de verantwoordelijke managers.

Het is zaak om niet te verzanden in bureaucratie, maar te sturen op eindproducten als een gecompleteerd risicoprofiel. Bedrijven waarvan de cultuur zich laat typeren als de administration-cultuur zijn in de praktijk het moeilijkst te overtuigen van de noodzaak van de implementatie van ERM. In een poging om het management van een vooraanstaand mediabedrijf in Nederland te overtuigen van de noodzaak van de implementatie van ERM, kwamen er opmerkingen naar voren als: ‘Wij zijn geen bank!’ en ‘Je moet eens bij afdeling Y gaan kijken, daar zijn genoeg risico’s te vinden, maar hier niet.’

‘Met de aanschaf van ons nieuwe softwaresysteem voldoen we aan de standaard controle-eisen, we hoeven echt niet het beste jongetje in de klas te zijn.’ En: ‘Wij doen het al jaren zo en het is voor zover ik weet nog nooit fout gegaan.’

Om zorg te dragen voor een succesvolle ERM-implementatie binnen deze cultuur is het van belang naar risico’s te kijken vanuit integraal perspectief. Het is daarbij aan te bevelen om medewerkers met verschillende perspectieven bij elkaar te brengen met de bedrijfsdoelstellingen als uitgangspunt. De administration-cultuur vraagt om zowel een bottom-up benadering als een top-down benadering (faciliteren van methoden en technieken) wanneer het gaat om de implementatie van ERM.

DEVELOPMENT-CULTUUR
Van de bedrijven met een development- cultuur geeft 44 procent aan dat ze ERM op een volwassen wijze binnen hun onderneming hebben geïmplementeerd. Op basis van onderzoeksresultaten is deze bedrijfscultuur, na de performancecultuur, het meest succesvol.

Naast de focus op risk assessments en risk governance legt deze bedrijfscultuur ook nadruk op training en op het bewustzijn van de medewerkers in de organisatie. Communicatie naar de stakeholders met betrekking tot ERM heeft hier de minste aandacht. De intrinsieke motivatie om activiteiten te toetsen aan mogelijke risico’s is standaard aanwezig bij bedrijven met een development-cultuur.

Daarom zijn deze bedrijven goed in staat in scenario’s te denken. Door de risico’s vroegtijdig in te schatten zien ze meer mogelijkheden om de door hen ontwikkelde kansen ook daadwerkelijk te benutten. Deze veelal innovatieve bedrijven kenmerken zich door snelle ontwikkelingscycli. Producten hadden gisteren al op de markt moeten zijn, patenten moeten snel geregistreerd worden en productieprocessen dienen bij implementatie al optimaal te zijn.

Door deze tijdsdruk wordt er onvoldoende tijd gereserveerd voor gedegen risico-identificatie, met als gevolg dat het management verrast wordt door incidenten met omvangrijke (financiële) gevolgen. De introductie van de ERM-werkwijze binnen een onderneming in de voedingsindustrie waar een developmentcultuur heerst, is met enthousiasme ontvangen.

Tot nu toe hadden de managers veel tegenslag gekend en waren er zaken op hun pad gekomen die zij eerder niet hadden voorzien. Het nieuw te introduceren product voldeed bijvoorbeeld bij massaproductie niet aan de eigen specificaties, afnemers stelden hoge eisen aan zowel het product als de verleende service.

Ook juridische claims bleven niet uit. Een gestructureerde benadering middels workshops geeft hun een meer compleet beeld van de risico’s. Het management van deze afdeling gebruikt de methodiek van ERM om zaken met een hoge prioriteit uiteindelijk op een gedegen manier bij de investeerders op het netvlies te krijgen en daar waar nodig te budgetteren. Binnen deze bedrijfscultuur heeft het formaliseren van risicomanagement prioriteit. Reserveer jaarlijks tijd voor risico-identificatie en actieplanning tijdens een workshop, bij voorkeur gekoppeld aan een strategische (hei) sessie. De opvolging van de daaruit voortvloeiende acties dient in de managementcyclus te worden opgenomen

INTIMACY-DRIVEN CULTUUR
Bij de organisaties met een intimacydriven cultuur stelt 38 procent ERM op een volwassen wijze te hebben ingericht. Na de administration-cultuur gaat implementatie van ERM hier het moeizaamst. Bedrijven met een intimacy-cultuur leggen de nadruk op het creëren van bewustzijn, training en communicatie met de medewerkers. Bedrijven met een dergelijke bedrijfscultuur steken in verhouding minder tijd in risk assessments en risk governance. Daarentegen investeren ze in vergelijking tot de andere culturen de meeste tijd in de kwaliteit van de maatregelen die de risico’s moet mitigeren.

Een verklaring hiervoor kan de vertrouwensbasis zijn die managers ontwikkelen met managers van aangrenzende of ondersteunende processen. Dit vertrouwen kan conflictvermijdend gedrag teweegbrengen. De door andere managers vastgestelde feiten worden niet ter discussie gesteld. Bij een bedrijf dat actief is in de mobiele telecommunicatie viel tijdens de onderzoeken op dat medewerkers en managers volledig vertrouwden op de specialisten. Het gevaar hierbij was dat zij niet zelf het initiatief namen om na te denken over de mogelijke risico’s.

Een uitspraak van een geïnterviewde: ‘Het risico met betrekking tot het verlies van informatie is niet groot.’ Op de vraag waarom hij dit dacht en op basis van welke informatie hij deze inschatting maakte, zei hij: ‘De ICT Director geeft aan dat het risico van verlies van informatie niet groot is.’

Dit is bijzonder, aangezien de ICT Director in dit voorbeeld in feite alleen maar iets over de waarschijnlijkheid van het plaatsvinden van het risico kan zeggen. Door de vertrouwenscultuur bestaat de mogelijkheid dat ERM niet als (continu) proces wordt geïmplementeerd. De follow-up ontbreekt, doordat managers elkaar niet durven aan te spreken. De nadruk binnen deze bedrijfscultuur zou daarom moeten liggen op risicoanalyses en het implementeren van ERM als een continu proces inclusief follow-up.

Interactieve sessies of workshops met gebruik van stemsoftware om actieve deelname te bevorderen kunnen hierbij effectief zijn. Aanvullend blijkt het in de praktijk goed te werken wanneer er behalve op strategisch en tactisch niveau ook op operationeel niveau zogenaamde risicoworkshops worden georganiseerd waarin één specifiek onderwerp door alle gerelateerde afdelingen tegelijkertijd wordt besproken.

BEDRIJFSCULTUUR EEN GROTE UITDAGING
Door de economische neergang is er steeds meer aandacht voor ERM. Door een geïntegreerde en organisatiebrede benadering van risicomanagement worden onvoorziene verliezen als gevolg van risico’s beter beheerst. Maar ERM is in de meeste organisaties nog niet als integraal proces ingericht.

In dit artikel is beargumenteerd dat de bedrijfscultuur een belangrijke rol speelt bij de ERM-implementatie. De cultuur geeft richting aan de wijze waarop ERM binnen de organisatie wordt geïmplementeerd en aan welke componenten de meeste aandacht dient te worden geschonken. Voor iedere onderneming die de implementatie van ERM tot een succes wil maken, is het van belang om zich te realiseren welke bedrijfscultuur er binnen de onderneming overheerst.

DRS . MARK BRAAM is consultant bij Aon Global Risk consulting. Hij begeleidt in zijn functie diverse bedrijven tijdens e verschillende fasen van ERM-implementatie. Hiervoor was hij Risk Manager bij Sanoma Uitgevers.