'Zwarte zwanen' opsporen bij ProRail

In navolging van veel bedrijven in de particuliere sector maakte ProRail in 2007 een begin met integraal risicomanagement (IRM ). Met behulp van het COSO-model, ontwikkeld door the Committee of Sponsoring Organizations of the Treadway Commission, worden de relaties tussen de ondernemingsdoelstellingen, -risico’s en het interne beheersingssysteem geïdentificeerd. Het IRM is gericht op het op inzichtelijke manier bereiken van een vierledig doel: het behalen van organisatiedoelstellingen, het borgen van effectiviteit en efficiëntie van bedrijfsprocessen, het realiseren van betrouwbaarheid van de (financiële) informatievoorziening en een juiste naleving van relevante wet- en regelgeving.

Hiervoor doorloopt de organisatie elk jaar een risicomanagementcyclus. Aan de hand van procesbeschrijvingen worden in teamverband – op de verschillende niveaus van de organisatie – alle mogelijke risico’s vastgesteld, en in een risicomatrix gewogen. Daarna wordt bepaald hoe ze worden benaderd om ze te neutraliseren.

De opzet van het risicomanagement in zijn huidige vorm voldoet.
Systematisch worden in alle afdelingen van het bedrijf risicoassessments uitgevoerd. Waar nodig worden aanvullende beheersmaatregelen geformuleerd. Desondanks blijft behoefte bestaan om de kwaliteit van het risicomanagement te verhogen. De verplichte activiteiten, het risicoassessment en het controlassessment en het registreren van deze activiteiten in het risicoregister, worden soms als belastend ervaren. Ook kan het gevaar ontstaan dat een te enge visie op het naleven van regels en procedures het zicht op waar het om gaat – namelijk de beheersing van toprisico’s – vertroebelt. Bureaucratisering is een reëel verschijnsel van integraal risicomanagement, een verschijnsel dat veel weerstand kan veroorzaken in de organisatie. Dit wordt ook veroorzaakt doordat het rendement van IRM vaak moeilijk te meten is. Wanneer een risico goed wordt beheerst, treden nadelige gevolgen niet op. Hoeveel risico’s zich niet voordoen door goed risicomanagement, is moeilijk vast te stellen.
De weerstand tegen IRM kan worden verminderd door te sturen op een zo hoog mogelijk rendement tegen zo laag mogelijke inspanning. De opdracht is om dat doel te bereiken in een open en heldere samenspraak met alle betrokkenen, zonder daarbij verstrikt te raken in stapels nieuwe regels en loodzware controleactiviteiten.

Dus is de vraag hoe de werking van het IRM te verbeteren zonder een bulk aan nieuwe (controle)regels in te voeren. Aan de hand van het COSO- model is een plan opgesteld om alle facetten van de COSO-kubus (zie figuur 1), van internal environment tot en met monitoring, opnieuw bij de medewerkers van ProRail te introduceren. Met behulp van de dialoog tussen lijn en control proberen we het IRM systematisch robuuster te maken. We proberen hierbij weg te blijven uit de reflex om het zwaartepunt op nieuwe controlemaatregelen te leggen. Maar leggen ons toe op de hoofdzaak van IRM , het voorkomen van grote nadelige gebeurtenissen die de doelstellingen of het voortbestaan van ProRail kunnen bedreigen.

Figuur 1. Coso kubus

Verder dan de neus lang is, maar wel een stap terug
Door de economische gebeurtenissen die zich in 2008 aftekenden (de kredietcrisis, met alle gevolgen van dien), worden we extra met onze neus op de feiten gedrukt. Techniek alleen bleek geen wondermiddel te zijn, de kansen en risico’s bij financiële instellingen waren maar al te vaak verkeerd berekend of zelfs in het geheel niet onderkend, en de impact van defaults (non-payments) in hypotheekportefeuilles werd branchebreed onderschat. Voor een bedrijf als ProRail geen aanmoedigende feiten om vooralsnog stevig te gaan investeren in de technische kant van risicomanagement – het inschatten van kansen van risico’s op basis van modellen en statistieken. Maar wat we óók vaststelden, was dat je voordat je een risico kunt managen, eerst moet vaststellen wat een risico is; dus hoe het eruit ziet en hoe het zich aandient.
Nasim Nicholas Taleb beschrijft in zijn bestseller De Zwarte Zwaan – De impact van het hoogst onwaarschijnlijke (2008) de mechanismen die kunnen leiden tot het niet identificeren of het niet voldoende onderkennen van toprisico’s. Een Zwarte Zwaan is een gebeurtenis die niet in de statistieken is te vangen doordat hij buiten de norm valt (een zgn. outlier), een zeldzame gebeurtenis met grote impact en pas nadat de gebeurtenis heeft plaatsgevonden verklaarbaar (Taleb, 2008). Twee observaties van Taleb sluiten goed aan op het hierboven beschreven verschijnsel van bureaucratisering. Taleb waarschuwt ons ten eerste voor “onze blindheid ten aanzien van toevallige variatie, en met name grote afwijkingen: waarom hebben wij – wetenschappers en niet-wetenschappers, hoge pieten en gewone mensen – de neiging om de blik gericht te houden op details in plaats van op grote, mogelijk belangrijke gebeurtenissen, ondanks bewijzen dat die van enorme invloed zijn?” Door de ruime scope van het integraal risicomanagement, waarbij proces voor proces wordt geanalyseerd en gedocumenteerd, wordt het kwetsbaar. Het legt mogelijk de focus op details in plaats van op de grote risico’s. Een tweede gevaar schuilt in de (statistische) analyse. Taleb legt uit dat in het sociaal economisch domein ongelijkheden zo groot en verrassend kunnen zijn dat één enkel geval een onevenredig grote impact op het totaal kan hebben. Deze gevallen zijn pas achteraf verklaarbaar, maar kunnen vooraf niet met onze traditionele methoden worden voorspeld. De moraal voor ons is dat je op moet passen met het dichtregelen van je risicomanagementprocessen. Probeer ruimte te creëren voor een andere kijk op de werkelijkheid.

Eind 2008 (voordat we Taleb hadden gelezen) stelden we ons de vraag: hebben we alle risico’s wel in beeld? Er zijn veel mogelijkheden om de compleetheid van risico-inventarisaties te bevorderen. Compleetheid kan worden verbeterd door toepassing van verschillende inventarisatietechnieken1 of door het toepassen van checklists2. Met de aard van ProRail – actief in het publieke domein van mobiliteit, met onder andere het beheer van infrastructuur met een lange levensduur – in het achterhoofd op zoek naar bronnen die mogelijke strategische risico’s in beeld brengen, troffen wij de in Nederland vervaardigde horizonscan aan. Wij besloten die systematisch te gaan gebruiken. Hiermee hebben we onze blik verbreed en de termijn waarop we kijken aanzienlijk verlengd. We leveren zo een extra inspanning om te voorkomen dat we op enig moment worden overvallen door een of meer risico’s uit onverwachte hoek. Risico’s kunnen namelijk wel degelijk buiten ons voorstellingsvermogen opdoemen. Daarom is het van eminent belang dat een rationele benadering van risico’s bij wijze van spreken een tweede natuur wordt. Daarnaast is een creatieve zoektocht naar voor onmogelijk gehouden risico’s van even grote betekenis. (Zie ook: Risk 2018: Planning for an unpredictable decade – The Economist 2008.)

Misschien nauwelijks voor te stellen, horen wel al zeggen. Maar laten we de geschiedenis erbij nemen. Indianen, de oorspronkelijke bewoners van Amerika, hadden in de 15e eeuw geen flauw benul van wat er achter de zeilen van schepen uit Europa schuil kon gaan. Om de doodeenvoudige reden dat ze geen zeilschepen kenden. Met die schepen zeilden ‘bleekgezichten’ mee die niet alleen goederen, maar ook bedoelingen meebrachten die de Indianen voor onmogelijk hielden. Wij allen weten hoe het de Indianen in de daarop volgende eeuwen is vergaan.

Hoe werkt de horizonscan?
De nationale horizonscan is gebaseerd op het model van de horizonscan (de zogenoemde Sigma-scan) zoals die is ontwikkeld in Engeland; in het Horizon Scanning Centre. Dat centrum startte in november 2004. De output was gericht op strategievorming.

Daarbij stonden drie uitgangspunten centraal:

1. het maken van een brede horizonscan (de Sigma-scan) om te kijken naar toekomstige problemen en ontwikkelingen die van invloed kunnen zijn op strategie- en (dus) beleidsvorming,
2. samen zoeken naar vraaggestuurde mogelijkheden voor specifieke kwesties, en
3. het verstrekken van ondersteuning, met inbegrip van coaching en advies.

De Nederlandse horizonscan beslaat een periode van 10 tot 15 jaar, en geeft een breed, domeinoverstijgend beeld van problemen, bedreigingen en kansrijke ontwikkelingen. Dat werd bereikt door met een aantal, geselecteerde deskundigen het proces (zie figuur 2) te doorlopen. Dit proces resulteerde in 2007 in een rapport waarin een veelheid aan risico’s voor de middellange en lange termijn staat beschreven (zie: www.horizonscan.nl).

Figuur 2. De nationale horizonscan

In Groot-Brittannië, de bakermat van de horizonscan, wordt de Sigma-scan gebruikt om mogelijke problemen en ontwikkelingen die de komende 50 jaar invloed kunnen hebben op de Britse openbare orde, in kaart te brengen en te volgen.

Toepassing van de horizonscan binnen ProRail
De Nederlandse horizonscan beschrijft 86 risico’s, gecategoriseerd in de volgende domeinen:

• fysieke omgeving,
• basisvoorzieningen,
• wetenschap/technologie/onderwijs,
• sociaal, economisch en politiek/bestuurlijk/juridisch.

Om voor ProRail van toegevoegde waarde te kunnen zijn, was het vanwege het grote aantal risico’s noodzakelijk een voorselectie te maken. Daarbij stelden we ons de vraag hoe die voorselectie te maken zonder het risico op bedrijfsblindheid te (her)introduceren. Een voorselectie gemaakt door medewerkers van ProRail kon het gevaar inhouden dat risico’s ten onrechte en te snel terzijde zouden kunnen worden geschoven als ‘ondenkbaar’ of ‘niet realistisch’. Selectie door buitenstaanders, niet gehinderd door enige kennis van het spoor, kon de kans op de keus van relevante risico’s wellicht vergroten. Uiteindelijk werd gekozen voor een combinatie van managementtrainees die, nog niet gehinderd door (te) veel ervaring, de frisse blik konden vasthouden. Onder leiding van een niet-te-oudgediende werd in brainstormsessies de voorselectie tot stand gebracht.

Ervaring en uitkomsten van de horizonscan bij ProRail
De voorselectie resulteerde in vijf, mogelijke risico’s die qua impact en kans voor ProRail een toprisico zouden kunnen vormen:

• Communicatie: ICT-afhankelijkheid; impact: uitval van computersystemen, geen verkeersleiding mogelijk;
• Educatie: onvoldoende technisch opgeleid personeel in dienst en beschikbaar, met als gevolg hoge kosten voor extra inhuur;
• Transport: stagnatie van verkeer in stedelijke gebieden; overbelasting op knelpunten leidt tot verstoringen en vertragingen;
• Constructie: veroudering van verborgen infrastructuur, het ontbreken van informatie over de status en exacte ligging van ondergrondse infrastructuur waardoor verstoringen in de toekomst ontstaan;
• Bedrijfsleven: cheating culture; door toenemende verzakelijking sturing op efficiency en KPI’s; leidt tot kwaliteitsverlaging.

Uit de confrontatie met de voorselectie door managementtrainees en de toprisico’s die door de ProRail-organisatie bottom up en top down in de lijn werden gesignaleerd, kwam een aantal verrassende bevindingen. De risicoassessments en de horizonscan gaven ten dele dezelfde toprisico’s weer, maar voor een deel ook niet. Wat opviel, was dat het – door niemand binnen ProRail – gesignaleerde risico in het domein ‘cheating culture’ werd opgemerkt door een managementtrainee die tijdens haar traineeship de mogelijkheden van ProRail voor een meer zakelijke bedrijfsvoering had onderzocht. Bij initiatieven die binnen ProRail ter besluitvorming worden voorgelegd – in het kader van het streven naar verzakelijking binnen de organisatie – wordt dit risico nu meegewogen.

Tot slot
Voor het trekken van conclusies over de toepasbaarheid van de horizonscan voor het opsporen van ‘zwarte zwanen’ (nog niet geïdentificeerde risico’s) in risk assesments is het nog te vroeg. Ook hebben wij de horizonscan nog niet optimaal benut voor het identificeren van kansrijke mogelijkheden (kansen als positieve risico’s). Daarvoor is een brede toepassing over langere tijd nodig.

De betrokkenen hebben hun ervaring als positief ervaren. Voor de managementtrainees bleek het een eerste ervaring met risicomanagement, en door de creativiteit die bij het proces werd aangeboord, is hun interesse voor risicomanagement gewekt. De directie heeft ervaren dat de risico’s die zij als toprisico’s had geïdentificeerd, door relatieve buitenstaanders worden gedeeld. Men is tevreden met de gedachte dat een extra inspanning is geleverd om nieuwe risico’s op te sporen, en misschien een ‘zwarte zwaan’ is gevonden.

Nicolas Nassim Taleb spreekt in zijn boek behartenswaardige woorden over hoe wij de wereld om ons heen maar al te vaak beoordelen. Wij zien overal om ons heen witte zwanen –immers, ons vertrouwde beeld –, en zijn nauwelijks of niet in staat zwarte te zien. Taleb, van oorsprong derivatenhandelaar op Wall Street die zich later in de filosofie verdiepte, introduceert de ‘zwarte zwaan’ als metafoor van een hoogst onwaarschijnlijke gebeurtenis. Daarvoor kunnen we onze ogen sluiten, we kunnen er ook ons voorstellingsvermogen mee oprekken en ons voordeel doen met een nieuwe, heldere kijk op wat we in eerste aanleg geneigd zijn te zien als gevaar. We kunnen onze horizon blijven(d) afscannen. Zonder twijfel een boeiende en nuttige bezigheid.

Drs. Dimitri Kruik RC is manager planning en control bij ProRail.
Drs. Dorien Rookmaker is senior corporate controller bij ProRail.

Noten
1 In de literatuur worden talrijke risico-inventarisatietechnieken beschreven vanuit verschillende invalshoeken. Als invalshoeken worden onder andere genoemd: technisch, systeem, veiligheid, organisatie, foutkans.
2 De grote accountantskantoren beschikken allen over checklists met standaardrisico’s, vaak gedifferentieerd naar sectoren, die handig zijn om naast de eigen uitkomsten te houden. Een voorbeeld hiervan is het Generiek COSO-ERM Business Risk Model van Ernst & Young.

Literatuur

• Rapport Horizonscan, naar een toekomstgerichte beleids- en kennisagenda (COS, 2007)
• Risk 2018 – Planning for an unpredictable Decade (The Economist, 2008)
• The Black Swan – the Impact of the Highly Improbable (Nicolas Nassim Taleb, 2008)
• Coso II Enterprise Risk Management (Committee of Sponsoring Organizations of the Treadway Commission, 2004)