Risicomanagement, lessen voor het kabinet

Een serie blogs over succesmanagement.

De wereld wordt steeds complexer. We kunnen niet meer alles controleren of beheersen.

Organisaties ontwikkelen daarom indicatoren, die iets zeggen over hoe hoog bijvoorbeeld het risico in de productieomgeving is, om de juiste producten te maken.

Door Geert Haisma. Hij is directeur Fully in Control en al 25 jaar gericht op nieuwe ontwikkelingen die doelbereiking effectief en succesvol kunnen maken. Hij is verbonden aan Universiteit Twente en moderator van de public peer group van het Controllers Netwerk.

Zo moet in de vleesverwerkende industrie aan veel regels worden voldaan. Om alle regels 100 procent na te leven is vrijwel onmogelijk. Bij welke regels ligt dan het grootste gevaar als deze niet worden nageleefd? In de uitvoering wordt dan vooral gecontroleerd op de aanwezigheid van risico’s en de omvang van het risico bij bepaalde regels. Deze vorm van bewuste keuzes maken in de werkzaamheden noemen we risicogestuurd werken. Risicogestuurd werken kent twee pijlers: performancemanagement en risicomanagement.

Performance- en risicomanagement

Performancemanagement richt zich op de initiatieven, de Key Succes Factoren (KSF’s), die bepalend zijn voor het behalen van doelstellingen. Met risicomanagement wordt dit aangevuld met aandacht voor risico’s die een belangrijke invloed kunnen hebben op het behalen van doelstellingen indien ze optreden. Maatregelen worden benoemd om de impact van een risico te verkleinen. Key Risk Indicatoren (KRI’s) worden vervolgens bepaald om te monitoren waarmee in hoeverre maatregelen op orde en (nog) effectief zijn.

Risk appetite

De start voor risicogestuurd werken begint met het bepalen van de ‘risk appetite’ op een doelstelling. Hoeveel risico wil de organisatie lopen om een doel te realiseren? Wat is acceptabel? Het product mag bijvoorbeeld wel de fabriek uit als de sticker er iets scheef op zit, maar zeker niet als het vlees blijkt te zijn besmet met een bacterie.

Alle risico’s die groter zijn dan de risk appetite op een doelstelling zijn ongewenst. Daarvoor moeten dus maatregelen worden bedacht en geïmplementeerd, om deze risico’s naar een niveau te brengen dat past binnen de risk appetite. Vervolgens moeten deze maatregelen worden gemonitord of ze ook daadwerkelijk effectief zijn.

Om succesvol doelen te bereiken moeten dus de juiste dingen worden gedaan (performance management) en die risico’s worden beheerst (risicomanagement) die boven de risk appetite uit komen. Door ervoor te zorgen dat deze (grote) risico’s ‘In Control’ zijn, worden dus risicogestuurd prioriteiten gesteld. Als er nog tijd over is kunnen ook de kleinere risico’s worden beheerst. Of niet, indien de impact van deze risico’s wordt geaccepteerd.

Risicogestuurde corona-aanpak en PDCA cyclus

De coronapandemie wordt ook risicogestuurd aangepakt. Het kabinet heeft op haar dashboard KRI’s om de omvang van het risico te meten en heeft ook een streefwaarde (risk appetite) waarin de grens wordt aangegeven, zoals het R getal, het aantal ziekenhuisopnames, etcetera. Zodra een streefwaarde (risk appetite) wordt overschreden blijkt dat de maatregelen onvoldoende werken om de risico’s op een bepaald niveau te houden en zijn aanvullende maatregelen benodigd. Een goede benadering om dit risicogestuurd aan te pakken.

De valkuil bij veel organisaties, en ook bij het kabinet, waarom het niet goed werkt is dat de PDCA cyclus – Plan, Do, Check, Act – niet consequent wordt nageleefd. Er is veel Plan en Do, maar de Check en Act blijfven achterwege.

Een voorwaarde voor succesvol risicogestuurd werken is wel dat de PDCA cyclus consequent wordt nageleefd en dat van tevoren over scenario’s wordt nagedacht wat te doen bij de stijging van risico’s om snel te kunnen schakelen.

Alle blogs van Geert Haisma voor u op een rij gezet.

(foto: Anton, Unsplash)