Risicomanagement in vier valkuilen… en hoe ze te vermijden

Modern risicomanagement heeft nog steeds vier klassieke valkuilen. Die zijn niet nieuw, maar wel actueel. Fascinerend, hoe velen – professionals, leidinggevenden én zelfs risicomanagers – er steeds weer met open ogen en de beste bedoelingen invallen. Wat zijn die vier valkuilen? En hoe zijn ze te vermijden?

Valkuil 1: complexiteit

Laatst had ik een leidinggevende van een woningcorporatie – zeker niet de grootste – in een opleiding. Zij kreeg een update van het risicodossier binnen. Er stonden nu 543 risico’s in…. Wie kan en wil daar wat mee doen? Wie geeft dit aantal energie? Retorische vragen. Dit is de complexiteit van omvang. Een andere complexiteit is die van classificatie. Risico’s worden dan bijvoorbeeld beoordeeld op basis van 7 kans-klassen en 5 maal 7, ofwel 35 gevolgklassen. Met eindeloze discussies of een risico klasse 5 of klasse 6. Voor klasse 6 moeten we escaleren naar het hogere management…

Risicomanagement is dus makkelijk moeilijk te maken. Het omgekeerde is veel lastiger. Hoe beperk je de complexiteit van risicomanagement? Bijvoorbeeld door elk risico aan doelen, taken, of eisen te koppelen. Een risico is dan een onzekere belemmering op weg naar het realiseren van dat doel, de taak of de eis. Daarmee worden risico’s gelijk relevant. Ook helpt het om scherpe keuzes te durven maken. Breng de 7 kans-klassen bijvoorbeeld terug tot 3 of misschien zelfs wel 2 klassen: grote kans en kleine kans. Grote kans dat hiermee de scherpte toeneemt.

Valkuil 2: getallen

Ja, ze zijn er nog steeds. Mensen die een risico alleen een risico noemen als het risico in een getal is uit te drukken. Een risico zonder kans en gevolg in bij voorkeur objectieve getallen is volgens hen géén risico, maar onzekerheid. What’s the bloody difference? In beide gevallen moet je immers een keus maken: doe ik iets, óf doe ik niets aan het risico dan wel de onzekerheid die m’n doel, taak of eis danig kan verstoren?

Wat helpt? In elk geval het benutten van een moderne definitie voor het begrip risico. Bijvoorbeeld die van “risico is effect van onzekerheid op doelen”. Die is van de ISO. Opvallende is dat het nieuwe COSO risicomanagement framework – in Nederland en internationaal veel benut door de grotere bedrijven – risico’s ook aan doelen koppelt. Hierover lijkt dus wereldwijd brede consensus te ontstaan. Tevens verdwijnt hiermee het gekunstelde onderscheid tussen risico en onzekerheid, waar je in de praktijk zo bijzonder weinig aan hebt. Wat ook helpt: accepteren dat veel risico-inschattingen noodzakelijkerwijs subjectief zijn, wegens gebrek aan harde data. Ook al brengt Big Data hier af en toe verlichting, vaak komt het toch aan op het durven kiezen: iets doen aan het risico, of toch maar niet?

Valkuil 3: illusie

Ook dit menstype loop je in de praktijk nog regelmatig tegen het lijf: de manager of bestuurder die echt verwacht dat met risicomanagement geen risico’s meer optreden. Let op de vraag die daar aan vooraf gaat: “Ik wil een complete en objectieve risicoanalyse.” Het enige juiste antwoord is een tweemaal luidruchtig NEE. Een compleet risicodossier kan per definitie niet. Je weet immers niet wat je niet weet. Zo is zelfs het eerder genoemde risicodossier met 543 risico’s met zekerheid niet compleet. En dan die objectieve risicoanalyse. Ga eens na, weet jij een écht 100 % objectief risico te verzinnen? Dus een risico, waarvan de kans van optreden én alle mogelijke gevolgen zijn volledig en feitelijk bekend zijn? Best lastig, voor een fenomeen dat inherent onzeker is.

Hoe prik je deze illusies door? Geduldig blijven uitleggen dat modern risicomanagement over optimaal leren omgaan met risico’s gaat. Dat er altijd wel iets onverwachts blijft optreden. Dat niemand met écht verstand van zaken het aandurft om risico’s 100 % objectief te noemen. En dat met het benutten van kennis, ervaring, diversiteit en gezond verstand veel risico’s wel degelijk heel behoorlijk in toom zijn te houden.

Valkuil 4: niets doén

Dat in toom houden van risico’s, dat vraagt wel om meer dan de lijst met risico: het risicodossier. Risico’s zijn daarin geïdentificeerd en geclassificeerd. Als het goed is, dan is elk risico ook gekoppeld aan een doel, taak of eis. Alleen, wordt er ook iets gedaan met zo’n risicoanalyse? Het opschrijven van maatregelen is een prima start, maar volstrekt onvoldoende. Immers, het gaat om het uitvoeren van die maatregelen. Althans, indien daarvoor expliciet is gekozen, wat lang niet altijd een (wettelijke) verplichting is.

Als inderdaad besloten is om iets aan een risico te doen, dóe dat dan ook. Alleen zo krijgt de papieren tijger tanden. Wat hierbij handig is: borg elke maatregel gewoon in werkwijzen, processen, activiteiten, of wat dan ook, wat er toch al is. Benoem dat expliciet in het risicodossier. Dit in plaats van aparte risico-actielijsten, waar – paradoxaal – vaak geen tijd voor wordt vrij gemaakt. Bijvoorbeeld door tijdgebrek, vanwege het druk zijn met “brandjes blussen”. Dus doe iets aan de risico’s, als daartoe besloten is, en combineer dat met wat je toch al doet.

Stilstaan

Tot slot, hoe weet je nu of je deze vier valkuilen daadwerkelijk vermeden hebt? Door af en toe even stil te staan en jezelf, of je team, vier vragen te stellen:

1. Maken we risicomanagement niet te complex?
2. Kunnen we zonder risico-getallen toch een wijs besluit nemen?
3. Zijn we bezig om de illusie van volledige risicobeheersing te voeden?
4. Doen we écht wat we hebben besloten, over omgaan met risico’s?

Dit onder het nog niet zo bekende motto Wie stilstaat voor een valkuil, die valt er niet in.

Dr. Martin van Staveren staat voor anders omgaan met risico’s. Vanuit risicobureau VSRM adviseert hij allerlei soorten organisaties over realistisch risicomanagement. Hij is ook kerndocent aan de executive masteropleidingen Risicomanagement en Public Management, Universiteit Twente. In 2015 verscheen zijn boek Risicogestuurd werken in de praktijk bij uitgeverij Vakmedianet.