Verantwoordelijk voor risico? Dan ook voor succes

Een serie blogs over succesmanagement.

In veel organisaties waar ik kom, en zeker in de publieke sector, is vaak onduidelijkheid over wie nou verantwoordelijk is voor een risico en voor risicomanagement. Veelal is het een ‘feestje’ van de controller.

Door Geert Haisma. Hij is directeur Fully in Control en al 25 jaar gericht op nieuwe ontwikkelingen die doelbereiking effectief en succesvol kunnen maken. Hij is verbonden aan Universiteit Twente en moderator van de public peer group van het Controllers Netwerk.

Maar het eigenaarschap van risico’s is geenszins een feestje. Daarom staan veel managers waarschijnlijk ook niet te popelen om als eigenaar te worden aangemerkt. Want stel je voor dat het mis gaat….

Wat veel managers zich niet realiseren is dat het managen van risico’s hen juist helpt om succesvol te zijn. Want als het eigenaarschap van een risico tussen wal en schip valt, weet je zeker dat er niets met het risico gebeurt en is het risico per definitie groter.

De laatste tijd merk ik steeds vaker dat er nog heel veel onduidelijkheden zijn over wat nu een risico is en wie wat moet doen. Daarom ga ik de komende weken in op de ‘essentials’ van risicomanagement.

Om te beginnen: Wat is een risico? Er zijn vele definities van ISO31000, COSO, enzovoort. Ze komen alle op hetzelfde neer. In de basis: Een risico is een mogelijke gebeurtenis. Deze gebeurtenis kan gevolgen hebben die de doelbereiking of output kunnen bedreigen. En daar zit precies de crux. Bestuurders willen graag succesvol hun doelen bereiken.

Proceseigenaar willen dat hun proces soepel en stabiel loopt. Dat kan alleen als je de risico’s die de doelen of processen bedreigen ook daadwerkelijk kent en beheerst. In deze constatering ligt het antwoord van het risico-eigenaarschap besloten.

Risicomanagement is geen lijst met risico’s zoals ik vaak tegenkom. Risico’s krijgen pas betekenis als je ze in hun context plaatst, relateert aan het object waar ze bij horen. Als dit niet gebeurt krijg je een lijst met betekenisloze risico’s (zwevende risico’s). Dit zijn risico’s die niemand goed kan duiden en waarvoor niemand zich verantwoordelijk voelt. Een benadering als het weerstandsvermogen voor gemeenten bijvoorbeeld leidt bij veel gemeenten tot lijstjes met risico’s speciaal voor het weerstandsvermogen. Dit vergroot dus juist de discussie over risico-eigenaarschap en ondermijnt de toegevoegde waarde van risicomanagement.

Strategische risico’s

Om je doelen succesvol te bereik en is het belangrijk dat je denkt vanuit de doelen. De vraag die je jezelf moet stellen is: Wat kan ervoor zorgen dat ik mijn doelen niet realiseer zoals ik zou willen?

Degene die het meeste belang heeft om inzicht te krijgen in mogelijke gebeurtenissen die het doel bedreigen, is de eigenaar van het doel. Deze doeleigenaar is dan ook primair belanghebbend en de kans dat hij iets gaat ondernemen om het risico te verkleinen is groter dan bij ieder willekeurig ander in de organisatie die er minder belang bij heeft.

Veelal is de doeleigenaar een bestuurder. Risico’s die direct zijn gerelateerd aan een doel zijn strategische risico’s.

Tactische risico’s

Op tactisch niveau geldt dezelfde redenering als bij strategische risico’s. Hier moet je jezelf de vraag stellen: Wat kan ervoor zorgen dat mijn activiteit (proces/project) hapert of afwijkt van wat ik wil?

De proceseigenaar of de projectmanager is hier de primair belanghebbende om de juiste risico’s in kaart te brengen en te beheersen. De proceseigenaar of projectmanager wil immers zo min mogelijk verrast worden tijdens de uitvoering en neemt liever vooraf alle belemmeringen weg of maakt de belemmeringen kleiner. Risico’s die niet kunnen worden beïnvloed zal hij scherp willen monitoren om tijdig te kunnen anticiperen.

Door de risico’s aan doelen en activiteiten te koppelen is meteen duidelijk wie de risico-eigenaar is, namelijk degene die in het primaire proces verantwoordelijk is voor het realiseren van een doel (meestal een bestuurder) of voor het realiseren van een proces of project (meestal een manager).

De risico-eigenaar is vervolgens degene die verantwoordelijk is om al dan niet maatregelen te treffen om zijn risico’s beter beheersbaar te maken. De toegevoegde waarde voor de risico-eigenaar is zijn kans op succesvolle realisatie van doelen of activiteiten te vergroten. De risicomanager / tweede lijn kan hierin ondersteunend adviseren.

​​​​​​​Risicomanagement in de publieke sector

Risicomanagement is niet meer weg te denken uit de publieke sector. Anders dan in het bedrijfsleven gaat het breder en verder dan de financiële risico’s, want het gaat immers om publieke waarde. Tijdens de basiscursus Risicomanagement in de publieke sector gaan we aan de hand van gangbare risicomanagement modellen en praktijkvoorbeelden aan de slag met een voorbeeld verbeter- of implementatieplan. Na afloop ken jij de stappen van een risicoanalyse en kan je deze uitvoeren voor jouw organisatie.

Bekijk de cursus

Alle blogs van Geert Haisma voor u op een rij gezet.

(foto: Makunin, Pixabay)