Bloeien de mooiste bloemen écht aan de rand van het ravijn?

De slager moet zeker wél zijn eigen vlees keuren: misvattingen over risicomanagement.

Een serie blogs over risicomanagement.

Een spreekwoord of gezegde is een (volks)wijsheid, een collectieve ervaring, of een morele opvatting. Verandering of harde feiten blijken ontkrachten ze vaak genoeg.

Maar daarmee bieden ze een mooie mogelijkheid tot herevaluatie. Dat geldt zeker voor gezegdes over het omgaan met risico's.

Door Rob van Erp en Wim Pauw. Van Erp is hoofd Corporate Risk bij Stedin. Pauw is partner bij Gilde van Adviseurs. Beide zijn ook universitair docent en trainer.

 

De slager die zijn eigen vlees keurt

Als je dit leest in de krant dan weet je al dat het weer mis is. Iemand heeft toezicht gehouden op zijn eigen werk en 'dús' is het misgegaan. Dat doet geen recht aan de noodzaak dat iedereen die kwaliteit wil leveren toch ook echt zijn eigen werk zal moeten controleren. Een echte keurslager zal zeker kijken naar de kwaliteit van zijn eigen vlees, voordat hij het in de vitrine legt. Op dezelfde manier zal iemand die een tekst schrijft, een installatie plaatst, een technische verbinding maakt, een rekenmodel opzet enzovoort altijd nog eens terugkijken of dat wat net gedaan is correct is.

Dat neemt natuurlijk niet weg dat het goed is dat er ook een onafhankelijke controle is. De Nederlandse Voedsel en Warenautoriteit ziet (onder andere) toe op de kwaliteit van het vlees van de slager. En dat is maar goed ook, gegeven de recente ernstige gevallen van fraudes met vlees. Maar zonder de intrinsieke behoefte van de (meeste) slagers om kwaliteit te leveren is dat dweilen met de kraan open.

Bij risicomanagement heet dat principe 'de drie dijken' of Three lines of Defense (3LoD).
- De eerste lijn is daar de persoon of afdeling die verantwoordelijk is voor de kwaliteit van het geleverde werk. Die kan zijn eigen kwaliteitscontrole in zijn eigen processen ingebakken hebben.
- De tweede lijn is de risicofunctie die daarover adviseert, controle processen ondersteunt, systemen ervoor onderhoudt en (middels steekproeven) vaststelt of dat proces ook echt zo loopt.
- De derde lijn in dit model staat voor de (internal) auditor die assurance (zekerheid) geeft op dit geheel. Soms is dat controle op controle, maar als de risico's groot zijn is dat wel nodig.

It's a small world

Dit zeggen we vaak als we merken dat we mensen via via kennen of alwéér tegenkomen of varianten hierop. "Wat een toeval!" Deze misvatting komt voort uit een enorme verscheidenheid aan mogelijke momenten die daarvoor in aanmerking komen en meestal, als ze geen bijzonderheid opleveren, niet opvallen en dus niet meetellen. We kennen via via ook bijzonder veel mensen! De hypothese dat we iedereen op de wereld kennen met maximaal 5 tussenstappen 'six degrees of separation' is in verschillende onderzoeken aannemelijk gemaakt. Dus de kans dat je iemand tegenkomt waar je een gemeenschappelijke kennis mee hebt is best groot. Wanneer je in een ruimte bent met 23 mensen is de kans dat er twee mensen dezelfde verjaardag hebben maar liefst 50 procent! Toch zullen mensen dan roepen 'wat een toeval' en 'wat een kleine wereld'.

De relevantie voor risicomanagement zit hier in het feit dat mensen niet heel goed zijn in het inschatten van kansen. Zeker niet als die kansen klein zijn. Een klassiek voorbeeld, waarvan de relevantie weer teruggekomen is vanwege corona, is het volgende:

Je bent in een random test positief getest op een zeldzame ziekte. Paniek! Verder weet je:

  1. de test is 99 procent nauwkeurig om de ziekte aan te tonen (positief), als je de ziekte hebt;
  2. De test is ook 99 procent nauwkeurig om de ziekte niet aan te tonen (negatief), als je de ziekte niet hebt;
  3. 1 op 10.000 mensen heeft de ziekte.

Wat is de KANS dat je de ziekte écht hebt, gegeven bovenstaande: moet je je zorgen maken?

Spreek die kans eens hardop uit, gokken mag. Velen zullen denken dat de kans erg groot is, vanwege de bijzonder hoge nauwkeurigheid van de test, beide kanten op. Toch valt dat reuze mee. Als 1 op de 10.000 mensen de ziekte heeft en de test 99 procent nauwkeurig is, dan zijn er per 10.000 mensen 100 die ten onrechte positief testen en maar 1 die terecht positief test. Jij bent daar één van. Daarmee is de kans net iets minder dan 1 procent dat jij de ziekte hebt. Namelijk 1/101. Zeg eens eerlijk, had jij dat goed?

De uitzondering bevestigt de regel

Wij mensen zijn snel geneigd om op basis van een enkele waarneming al conclusies te trekken. Om anekdotisch 'bewijs' als empirisch te beschouwen. We schrijven 'mensen', omdat dit nogal breed leeft, we maken ons er allemaal wel eens schuldig aan: "Het regent altijd op mijn verjaardag", "Jij laat nooit de hond uit", "Die is altijd te laat". Als iets zich voordoet wat past binnen onze verwachting is onze reactie vaak: "Ik zei het toch!"

En áls er dan al eens iets echt anders gaat dan we beweerden en we worden ermee geconfronteerd, dan zeggen we "Dat is de uitzondering die de regel bevestigt". Alleen is dat vaak ten onrechte: je hebt je niet opengesteld voor de mogelijkheid dat de wereld op dat punt anders in elkaar steekt dan je tot dan toe aannam. Een filosofische uitspraak in de wetenschap is dan ook: niets is echt bewezen, het is alleen nog niet ontkracht.

In zijn bekende boek 'The failure of risk management' beschrijft Douglas Hubbard hoe lastig het is, zelfs (juist!) voor experts, om een inschatting te geven van een bepaald risico, als dat niet op data, maar op eigen ervaring gestoeld is.

Mensen nemen selectief waar, onthouden selectief, én redeneren selectief. Daar zijn verschillende 'biasses' voor beschreven: vooroordelen die we allemaal in meer of mindere mate hebben. Niet persé erg, het helpt ons vaak om snel een juiste keuze te maken. Maar vertrouw er niet blind op. Dit proces is ook schitterend beschreven in de klassieker 'Thinking fast and slow' van nobelprijswinnaar Daniel Kahneman. De consequentie hiervan voor risicomanagement is dan ook dat we onze uiterste best moeten doen om via data een onderbouwing te vinden voor de inschatting van risico's en niet (blind) moeten vertrouwen op onze 'onderbuik'.

Het doel heiligt de middelen

Een bekende uitdrukking die veronderstelt dat het niet uitmaakt hoe een doel bereikt wordt, als het maar bereikt wordt.

Machiavelli schreef 500 jaar geleden zijn 'Il Principe' waarin hij zijn raad gaf aan de heersende vorsten van de stadstaten in Italië, voordat het één Italië werd. Het onderwerp was hoe ze hun macht konden behouden en uitbreiden. Daarin werd geen middel geschuwd. "Het is beter gevreesd te zijn, dan bemind," schreef hij.

Dit was duidelijk nog voor de tijd van de mondige consument, duurzame bedrijfsvoering, gewetensvolle aandeelhouders, en strenge toezichthouders. Verschillende bedrijven zijn al 'afgerekend' op dit principe, omdat ze methodes gebruikt zijn die ethisch niet door de beugel kunnen en/of wettelijk niet toegestaan zijn. Of het nu het vermijden van kinderarbeid, schone productieprocessen, of acceptabele winstmarges betreft: in het doel tot groei of winst, zijn lang niet alle middelen meer heilig.

Binnen risicomanagement zien we dat bijvoorbeeld terug in de vorm van reputatierisico: het risico op 'slechte pers' als gevolg van niet ethisch handelen en compliance risico's (het overtreden van wet en regelgeving). Die risico's zijn momenteel zó groot, dat een onderneming eraan ten onder kan gaan.

Zo hing de echte val van DSB ten slotte samen met de oproep aan alle klanten om er hun geld weg te halen: de reputatie van DSB was geheel weg. Facebook heeft enorme boetes gekregen voor misbruik van privacy regels, en ING en de Rabobank voor onvoldoende aandacht voor witwassen. Zaken die juridisch niet acceptabel zijn maar ook door 'de markt' niet meer geaccepteerd worden.

Eind goed al goed

Een logische afsluiter. Als het even spannend is geweest, om welke reden dan ook, maar iedereen weer veilig is, dan hoor je al snel 'eind goed al goed'. Maar 'alles' is helemaal niet goed, enkel omdat het einde goed was. Sterker nog, alles was wellicht heel erg beroerd en alleen het einde was goed, vanwege veel geluk.

Stel: je hebt met je partner 3.000 euro gespaard. Je gaat er zonder overleg mee naar het casino, zet het op jullie geluksgetal, dat valt (JA!), en je komt met 100.000 euro thuis. Dan zal je partner zeker blij zijn, maar daarna komt ongetwijfeld de vraag: 'Welk risico heb jij genomen met ons spaargeld?!' Met een 'eind goed al goed' kom je, óók met een positieve uitkomst, niet zomaar weg.

Als je rijdt met een caravan, die slecht is vastgemaakt en hij schiet los op de snelweg maar belandt zachtjes in een berm, dan doet 'eind goed al goed' ook geen recht aan de situatie. Die uitspraak zou kunnen veronderstellen dat omdat 'alles goed' is, er geen lessen geleerd hoeven te worden en het de volgende keer op dezelfde manier kan gaan. Dat is in het geval van de caravan zeker niet zo.

Bij risicomanagement is het daarom ook van belang te kijken naar incidenten om te begrijpen wat er gebeurt is om daarvan te leren. En 'near misses' (zaken die bijna misgingen) leren ons misschien nog wel meer.

Je hebt waarschijnlijk vaker een bijna ongeluk meegemaakt op de snelweg dan een echt ongeluk. Dat zijn steeds 'leermomenten'. Ook in de luchtvaart wordt uitgebreid onderzoek gedaan naar 'near misses'. Daar zeggen ze echt niet, nadat twee vliegtuigen elkaar rakelings gepasseerd hebben, 'eind goed al goed'.

De blogs in deze serie:

Voorkom verrassingen met Risk Management

Wil je onaangename verrassingen voorkomen? Wil je het gevoerde beleid inzake risicomanagement beter verantwoorden? Wil je aan de toegenomen regelgeving blijven voldoen? Dan is de cursus Enterprise Risk Management (inclusief 4 E-learning modules) onmisbaar.

Boek nu & ontvang 4 gratis E-learning modules

(foto: Patrick Boucher, Unsplash)