Een beknopte visie op risicomanagement.

1. Beknopte visie op Risicomanagement
6 november 2011
M.D. (Martijn) Phessas

2. BEKNOPTE VISIE OP RISICOMANAGEMENT
Risicomanagement: Compliance of toch Governance?
Om bovenstaande vraag te beantwoorden kan men beter de vraag stellen wat de
reden zou kunnen zijn om risicomanagement in een bepaalde hoek weg te zetten.
Daar waar Compliance vooral gaat over het volgen van (rigide) voorschriften op
gebied van normering of wet,- en regelgeving, omvat Governance juist het borgen
van (inter)persoonlijke discipline middels de factoren toezicht, sturing, beheersing en
verantwoording. De factor beheersing bevat het element van risicomanagement, en
kan worden beïnvloed vanuit de interne organisatie.
Compliance wordt soms gezien als de ´harde kant´, risicomijdend en zorgt (of zou
moeten zorgen...) voor duidelijkheid en borging, terwijl de risico´s in het model van
Governance meer bestaan uit de ´zachte kant´ waarbij veel menselijke en externe
factoren een rol kunnen spelen. Dit impliceert een groter en complexer risicoprofiel
dan bij Compliance. De zachte kant wordt ook wel eens als ‘softcontrols’ of ‘EQ-
factor’ aangeduid.
De factor sturing vanuit Governance lijkt op die van beheersing, want Planning &
Control komt namelijk in beide factoren voor. Planning & Control zijn bekende en
erkende begrippen in organisaties, en daarom wordt risicomanagement al snel
hieronder gezet. Vooral bij overheidsorganisaties is de controller al snel diegene
“die ook iets aan risicomanagement doet” terwijl controlling zich vooral richt op de
financiële aspecten. Risicomanagement gaat over integrale en organisatiebrede
aspecten. Het gaat echter te ver om de rollen om te draaien, en controlling (volledig)
deel te laten uitmaken van risicomanagement.
De reden waarom risicomanagement onder Governance valt is nu helder.
1/3

3. BEKNOPTE VISIE OP RISICOMANAGEMENT
Risicomanagement: nieuw en tijdelijk begrip?
Risicomanagement is niet nieuw, maar wordt de laatste jaren een steeds belangrijker
begrip op gebied van optimalisatie van prestatievermogen (ook wel ‘performance’
genoemd). Door van te voren goed na te denken over mogelijke risico’s in je gehele
bedrijfsvoering, kan je ook beter inschatten wat je moet doen als scenario ‘X’ zich
aandient. Dat kunnen zien ‘aankomen’ is een van de sleutels die risicomanagement
geeft waarmee een organisatie zich beter kan voorbereiden op de toekomst. Hierdoor
lopen de toekomstige prestaties van een organisatie beduidend minder risico op
afwijking ten opzichte van het verwachte en gewenste resultaat. Winstpropositie is
een van de dingen die hiermee veilig wordt gesteld.
Een glazen bol is het niet, maar bij een organisatiebreed gedragen risicomanagement
zijn de meeste mogelijkheden en scenario’s van te voren in kaart gebracht en
doordacht. Door de rekensom “Risico = kans x gevolg” uit te werken met bijvoorbeeld
ervaringcijfers ontstaat een objectief inzicht hoe groot de kans is dat iets gebeurt, en
wat daarbij de gevolgen zijn. Bovendien bepaal je van te voren welke risico’s
acceptabel zijn, en welke niet. Met die kennis zorg je er dus voor dat die
niet-acceptabele risico´s van te voren worden geëlimineerd, of tenminste zijn
afgedekt in termen van verantwoording, financiën, borging, etc.
Je organisatie presteert dus beter met integraal risicomanagement. Dat ´integraal´
houdt in dat
• Het verweven is door de gehele organisatie, en niet alleen speelt bij het MT,
controller of projectmanager.
• Er sprake moet zijn van een continue proces, en niet een eenmalige actie of
periodieke rapportage.
• Er sprake moet zijn van het inzien, borgen en beleven van nut en noodzaak.
• De gehele organisatie vrij genoeg is om elkaar aan te spreken op fouten. Rol
en plaats in de organisatie moet losstaan van de mogelijkheid om als
autonome en gelijkwaardige gesprekspartners elkaar te wijzen op fouten en
risico’s.
De term Projectmanagement werd net genoemd, en dat kent vrijwel elke organisatie
al sinds de tijd dat koningin Juliana nog op de guldens stond. Bij projectmanagement
faseer je een project, bouw je mijlpalen en (bij)sturingsmomenten in, en denk je van
te voren goed na hoe iets moet lopen. Toch ramen de meeste projectmanagers of
projectleiders nog steeds standaard de journaalpost “ 10% onvoorziene
gebeurtenissen” in zijn/haar projectplan. Een goede projectmanager denkt echter
continue na over:
• Wat als dit gebeurt?
• Wat als dat gebeurt?
Dit is in feite al een vorm van risicomanagement, maar speelt zich nog teveel af in
het hoofd van de projectmanager. Door dit op te schrijven en te delen met alle
betrokkenen kunnen risico’s van te voren geïnventariseerd en gecategoriseerd.
2/3

4. BEKNOPTE VISIE OP RISICOMANAGEMENT
En als we dit een vorm van risicomanagement mogen noemen, dan is de
journaalpost “ 10% onvoorziene gebeurtenissen” geen onvoorziene of risico meer,
en kunnen we het misschien wel ombuigen tot een aanvaardbaar vaststaand
gegeven.
Risicomanagement is dus geen nieuw begrip, en al helemaal niet tijdelijk. De
verwachting is dat risicomanagement een van de belangrijkste elementen gaat
vormen in modern management, en die beweging zie je momenteel al gebeuren bij
met name de grotere en commerciële partijen (denk aan banken,
verzekeringsbranche, etc). Overheden beginnen aarzelend aan dit begrip, maar de
huidige economische crisis werkt de behoefte aan duidelijkheid en grip op risico’s
sterk in de hand.
3/3