De zes valkuilen bij een risicomanagement implementatie

Veel organisaties worstelen met de inrichting van hun risicomanagement. De noodzaak ertoe wordt doorgaans wel gevoeld, hetzij vanuit een intrinsieke motivatie, hetzij omdat stakeholders en wet- en regelgevers daarom vragen. De resultaten worden echter vaak als onbevredigend ervaren. ‘We hebben weer een papieren tijger erbij’ en ‘ik heb nog steeds niet het gevoel volledig in control te zijn’ zijn veelgehoorde reacties. Wat gaat er mis? Hieronder beschrijf ik de zes valkuilen die ik vanuit mijn ervaring met risicomanagement ben tegengekomen en hoe deze te ondervangen zijn.

1          Een halfslachtige aanpak

Risicomanagement inrichten is een veelzijdig project waarbij stakeholders binnen- en buiten de organisatie betrokken zijn. Gewoon maar beginnen – we vragen control wat op te zetten –   leidt tot onvoldoende draagvlak, geen duidelijke horizon en eindresultaat. Een goede implementatie vraagt om een heldere projectmatige aanpak met een kop en een staart. Met duidelijke doelstellingen vastgelegd in een beleid, rolverdeling en eigenaarschap van top- en lijnmanagement. Ga eerst in gesprek over de risicohouding en de wijze waarop deze gemanaged moet worden. Leg een tijdspad vast waarin de mijlpalen zijn gedefiniëerd. Hiermee worden verwachtingen gemanaged en draagvlak gecreëerd.

2         Verliezen in detail

Kans maal €-impact. Dit uitgangspunt wordt in veel gevallen gebruikt bij de ranking en mapping van de grootste risico’s van een organisatie. Om zodoende de focus aan te brengen in welke risico’s de meeste aandacht moeten krijgen. Maar de inschatting van zowel kans als impact is in veel gevallen arbitrair. En kan leiden tot een schier oneindige hoeveelheid risico’s. Tijdsintensief en met een beperkte toegevoegde waarde. Bovendien is de impact vaak niet direct financieel vertaalbaar. Denk aan veiligheidsrisico’s. Ik ben voorstander van een meer kwalitatieve ranking van functionele risicogebieden waarin risico’s geclusterd worden. Daarbij staat met name de link met de strategische doelstellingen van de organisatie centraal.

3         De ivoren toren

Traditioneel is risicomanagement binnen de finance functie al verder ontwikkeld dan binnen de rest van de organisatie. Bij de implementatie van integraal risicomanagement is het van belang de verantwoordelijkheid daar te leggen waar zij thuishoort: in de lijn. Het onderbrengen van een risk officer-rol binnen de finance kolom is nuttig om het risicomanagement aan te jagen en te consolideren, maar ontslaat management niet van de verantwoordelijkheid om risicomaatregelen te ontwerpen, te implementeren en te monitoren. Breng het eigenaarschap naar het werkveld. Dan worden dáár de voordelen ervaren en neemt het draagvlak toe.

4         Silodenken

Het risicomanagement is geen panacee voor het in control brengen van de organisatie, maar draagt daar wel aan bij. Risicomanagement is een schakel in het geheel: the second line of defence. Een risicomanagement raamwerk zonder een goed functionerende first line – lijnmanagement dat toeziet op werkende beheersmaatregelen – kan niet functioneren. De inrichting van een third line of defence – een internal auditrol – versterkt de effectiviteit van het risicomanagement raamwerk. Ook een compliance officer  kan daaraan bijdragen mits de taken en verantwoordelijkheden in de governance-risk-compliance driehoek goed zijn afgestemd. Richt het raamwerk derhalve niet solitair in, maar zie de dwarsverbanden en richt een regie daarop in.

5         Nu kan ons niets meer gebeuren

De afgelopen jaren heb ik vaker de vraag gekregen: ‘wij hebben toch risicomanagement, en toch overkomt ons dit, hoe kan dat?’. Deze vraag wordt gesteld na een onverwachte gebeurtenis met negatieve impact op bedrijfsresultaten of strategie realisatie.  Het is een misverstand om te denken dat het implementeren van een risicomanagement raamwerk tevens het uitbannen van onverwachte gebeurtenissen betreft. No suprises please! Een goed functionerend raamwerk kan er wel voor zorgen dat een organisatie beter voorbereid is op het onverwachte. Resilience opbouwen. Risico-indicatoren en risico–limieten inbouwen in prognose tools, incidentmanagement neerzetten, stresstesting om de robuustheid van de organisatie te toetsen, het maakt de organisatie sterker. Keep expecting the unexpected.

6         Wij zijn al klaar

Wanneer het implementatietraject voor risicomanagement achter de rug is kan de organisatie haar voordelen opdoen met deze management tool. Er zijn extra waarborgen gecreëerd voor het realiseren van de strategische doelstellingen. Het proces van waardecreatie wordt beschermd. Stakeholders worden geïnformeerd over de effectiviteit van het raamwerk. Zijn we er dan? Nee, risicomanagement is nooit af! Het raamwerk faciliteert een cyclisch proces van continue evalueren en doorverbeteren. Het lokt discussie uit over de vraag of de juiste risico’s in beeld zijn en de juiste management attentie krijgen. Het triggert de bespreking van de compleetheid en doelmatigheid van de genomen maatregelen. Minimaal bij de jaarlijkse planning&begrotingscyclus dient dit aan de orde te zijn.

Met een pragmatische hands-on aanpak kan een effectief risicomanagement worden ingericht en worden deze valkuilen vermeden.

 Meer weten?   Neem contact op.