slogan: PLATFORM VOOR PUBLIC GOVERNANCE, AUDIT & CONTROL

De valkuilen van risicomanagement

De valkuilen van risicomanagement

29 augustus 2012 om 12:53 door Rick Anderson 0 reacties

Risicomanagement heeft de afgelopen jaren een stormachtige introductie gekend binnen het openbaar bestuur. Er zijn nog maar weinig organisaties binnen het openbaar bestuur die niets aan risicomanagement doen. Opvallend is wel, dat iedere organisatie zijn eigen invulling geeft aan dit fenomeen en dat ook talrijke concepten zijn ontwikkeld om risicomanagement vorm te geven binnen organisaties. De auteur van dit artikel waarschuwt voor de-valse-verwachting dat risicomanagement alle relevante risico’s in beeld zouden kunnen brengen.

Dit artikel gaat over de knelpunten en valkuilen die zich kunnen voordoen bij de ontwikkeling en implementatie van risicomanagement binnen overheidsorganisaties. Het artikel beschrijft deze knelpunten eerst conceptueel en illustreert de knelpunten vervolgens aan de hand van een voorbeeld uit de gemeentelijke praktijk. De conclusie van deze bijdrage is, dat risicomanagement nooit de verwachting mag wekken dat alle relevante risico’s voor een organisatie in beeld zijn gebracht en zijn afgedekt door beheersmaatregelen. Hoewel de bijdrage niet stelt dat risicomanagement een zinloze activiteit is, wordt hier wel het nut van risicomanagement gerelativeerd. Wellicht zouden overheidsorganisaties er verstandiger aan doen, zich voor te bereiden op onverwachtse gebeurtenissen dan de fictie in stand te houden dat alle gebeurtenissen vooraf in kaart kunnen worden gebracht.

De begrippen ‘risico’ en ‘risicomanagement’
Rsico is de mogelijkheid dat positieve verwachtingen niet in vervulling gaan (Haller, 1975). Deze definitie bevat twee basale elementen: de mogelijkheid ofwel de kans en het vervullen van verwachtingen ofwel het zich voordoen van bepaalde effecten. Risico verwijst dus naar de kans dat bepaalde effecten of gebeurtenissen zich al dan niet gaan voordoen. Carter gaat eveneens in op deze elementen. Hij definieert risico als ‘de mate van variatie in de mogelijke effecten van een onzekere gebeurtenis’ (Carter, 1981). Ook hier is sprake van een onzekerheid en ook hier levert deze onzekerheid een aantal mogelijke effecten op. Claes sluit aan op deze definities: ‘Risico is de mogelijkheid dat in een gegeven periode en situatie, positieve verwachtingen niet in vervulling gaan” (Claes, 2007). Vanuit de twee basiselementen waaruit risico is opgebouwd, kan dan de volgende formule geconstrueerd worden:

Risico = Kans x Effect

Om risico’s te kunnen managen worden risico’s doorgaans gecategoriseerd al naar gelang de kans dat zij zich voordoen groter is en al naar gelang de schade die zij teweegbrengen groter is. De matrix als weergegeven in tabel 1 ontstaat dan.

  Kleine Schade Grote schade
Kleine kans 1 2 (meest genoemde object van risicomanagement)
Grote kans 3 4

Tabel 1. Categorisering van risico's

De aandacht van het management van een organisatie zal zich met name moeten richten op categorie 2: door de lage frequentie is het ontstaan van deze risico’s erg onvoorspelbaar, terwijl de gevolgen zeer groot kunnen zijn. In algemene zin is een risico bedreigend, wanneer de realisatie van de basisdoelstellingen van de organisatie erdoor in gevaar komt (Claes, 2007, p. 54).
Uiteraard zijn andere indelingen mogelijk. Zo worden wel speculatieve risico’s van statische risico’s onderscheiden (Claes, 2007, p. 44). Speculatieve risico’s worden bewust opgeroepen omdat men speculeert op positieve effecten: het doen van investeringen en het innemen van posities op een aandelen- of derivatenmarkt zijn hier voorbeelden van. Bij speculatieve risico’s bestaat dus een kans op winst of verlies. Bij statische risico’s is echter uitsluitend sprake van een kans op verlies. De kans op brandschade is een goed voorbeeld van een statisch risico.

Hoewel risicomanagement zich doorgaans op statische risico’s richt, kent het begrip verschillende definities (tabel 2).

Bron Definitie van het begrip risicomanagement
Bannister en Bawcutt (1981) ‘Risk Management may be defined as the identification, measurement and economic control of risks that threaten the assets and earnings of a business or other enterprise.’
Hoffman (1985) ‘Risk Management ist das unternehmenspolitische Instrument zur Sicherung der Unternehmensziele.’
Williams en Heins (1989) ‘Risk Management is the identification, measurement and treatment of exposures to potential accidental losses, almost always in situations where the only possible outcomes are losses.’
Aart, Horbeek, Jongsma en Verdonk (1990) ‘De interactieve en iteratieve functie in het managementproces die tot doel heeft de onzekerheden, die de doelstellingen van een organisatie in positieve of negatieve zin kunnen beïnvloeden, op bedrijfseconomische wijze zo volledig en systematisch mogelijk te beheersen.’
Louwman en Steens (1994) ‘Het geheel van activiteiten en maatregelen, gericht op het beheersen van risico’s waaraan de risico-objecten zijn blootgesteld.’
Claes (2007) ‘Risicomanagement is een systematisch en regelmatig onderzoek naar risico’s die mensen, materiële en immateriële belangen en activiteiten bedreigen, en de formulering en implementering van een geïntegreerd beleid met betrekking tot risicoreductie, risico-overdracht en risicofinanciering.’

Tabel 2. Definities van risicomanagement

Talrijke andere definities zijn denkbaar. De bovenstaande weergave maakt echter duidelijk, dat in vrijwel alle gevallen risicomanagement van doen heeft met systematisch onderzoek naar risico’s en met het formuleren van maatregelen om deze risico’s te beheersen. Gesteld kan worden dat risicomanagement zich richt op de volgende activiteiten:

  • een inventarisatie van risico’s,
  • een inschatting van de kans dat deze risico’s tot schade leiden,
  • een onderzoek naar de methoden om de risico’s te verkleinen,
  • een onderzoek naar de mogelijkheden van risicofi nanciering,
  • het mogelijk overdragen van risico’s aan anderen,
  • het regelmatig toetsen van het gekozen beleid aan de veranderende omstandigheden (vgl. Claes, 2007, p. 14).

Hoewel de term risicomanagement voor het eerst in 1956 geïntroduceerd werd (Claes, 2007), wordt feitelijk al aan risicomanagement gedaan sinds er organisaties zijn. Risicomanagement is immers noodzakelijk, gelet op haar doelstelling: het veiligstellen van de ondernemingsdoelstellingen (Hoffmann, 1985). Iedere organisatie maakt bij nadere beschouwing periodiek een inschatting van mogelijke risico’s en beziet hoe deze risico’s het best zijn te beheersen, wil zij in staat zijn de realisatie van haar doelstellingen te garanderen.

Wel heeft risicomanagement een behoorlijke opkomst gekend de laatste decennia. Daarbij valt tevens een verbreding waar te nemen. De riskmanager die zich eerder richtte op statische risico’s begon hoe langer hoe meer typische speculatieve ondernemersrisico’s tot zijn object van beheersing te rekenen. Aan de andere kant begon bij accountants, organisatieadviseurs en controllers de belangstelling voor riskmanagement toe te nemen. Deze verbreding werd in 2002 in de hand gewerkt door de lancering van een raamwerk voor de interne controle van organisaties: COSO I, in 2003 aangescherpt tot COSO II. Deze raamwerken, opgesteld door het Committee of Sponsoring Organizations of the Treadway Commission als reactie op de aanname van de Sarbanes Oxley act, zijn door veel landen aanvaard en overgenomen. in COSO II wordt het begrip ‘enterprise risk inschatmanagement’ omschreven als: ‘A process, effected by an entity’s board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risks to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives’. Het betreft hier dus niet alleen statische, maar feitelijk alle risico’s.

De knelpunten
In de praktijk van het openbaar bestuur levert risicomanagement soms problemen op. Deze problemen bevinden zich allereerst op conceptueel niveau. Omdat het begrip risico doorgaans vrij abstract wordt gedefinieerd als iedere vorm van bedreiging, kan iedere ontwikkeling met een beetje gevoel voor pessimisme als risico worden aangemerkt. Hoogopgeleide ambtenaren, doorgaans beschouwd als een sterk punt van een organisatie, brengen een vergroot risico met zich mee, namelijk dat deze ambtenaren elders een betere betrekking vinden of teveel tegengas geven richting de bestuurders. Een daadkrachtig en eensgezind dagelijks bestuur, ook vaak gezien als positief punt, levert het risico op dat het algemeen bestuur haar grip op de organisatie gaat verliezen, met alle gevolgen voor het democratisch gehalte van de besluitvorming van dien.
De bovenstaande opmerking betreft een enkele gebeurtenis, een ontwikkeling of een situatie die zich kan voordoen. Daarnaast bestaat een conceptueel afbakeningsprobleem. Ontwikkelingen leiden immers vaak tot andere ontwikkelingen en de vraag rijst hoever men door kan en moet gaan met het traceren van indirecte effecten. Overigens zijn ook de causale verbanden tussen de ontwikkelingen en effecten onderling lang niet altijd helder in de praktijk van het openbaar bestuur.

Tevens bestaat het gevaar dat door het concreet benoemen van risico’s andere ontwikkelingen aan de aandacht gaan ontsnappen. Een universiteit die de studentenadministratie als het meest risicovolle proces heeft aangemerkt en vervolgens al haar aandacht richt op het waarborgen van de kwaliteit van deze administratie, verliest soms haar concurrentiepositie ten opzichte van andere universiteiten uit het oog. Algemeen gesteld loopt risicomanagement tegen het dilemma op, dat risico’s enerzijds concreet benoemd moeten worden, terwijl anderzijds het organisatiebrede geheel niet uit het oog mag worden verloren. Nu zijn natuurlijk controlmodellen ontwikkeld waarbij gesteld wordt dat het management haar aandacht zal moeten richten op meerdere aandachtsgebieden tegelijk, maar deze controlmodellen gaan voorbij aan het gegeven dat er doorgaans geen middelen zijn om ieder aandachtsveld tot prioriteit te verheffen.

Een volgend probleem betreft het inschatten van de kans dat zich een bepaalde situatie of gebeurtenis gaat voordoen. Deze kans is een essentieel onderdeel van het begrip risico, maar kan vrijwel nooit goed en kwantitatief worden ingeschat. Een kansverdeling uit het verleden biedt immers nooit een adequate basis voor een toekomstige inschat ting. Sterker geformuleerd: het zijn juist de meest onvoorzienbare en onvoorstelbare gebeurtenissen die nooit vooraf waren ingeschat, maar die wel de meeste impact op een organisatie hebben (Taleb, 2008). De aanleg van de noord/Zuidlijn in amsterdam geeft hier goede voorbeelden van.

Als het inventariseren van risico’s al lastig is, dan geldt dit temeer voor het formuleren van adequate beheersmaatregelen. Het formuleren en implementeren van maatregelen veronderstelt immers, dat het openbaar bestuur effectief kan interveniëren op situaties die zich wellicht in de toekomst kunnen voordoen. Deze veronderstelling is slechts deels houdbaar in de praktijk van het openbaar bestuur. Maatregelen leveren soms ongewenste en indirecte effecten op, met als gevolg dat de effectiviteit van deze maatregelen nog wel eens ter discussie staat (in ’t Veld, 1989). Het risico dat binnen een gemeente een pyromaan opstaat, is een veel en algemeen erkend risico. Het formuleren en implementeren van de meest effectieve maatregelen om dit risico te bestrijden is echter veel lastiger.

Tot slot veronderstelt adequaat risicomanagement dat risico’s zo volledig en grondig mogelijk worden geïnventariseerd en worden gecommuniceerd. Ook deze veronderstelling is niet altijd valide in de praktijk. ambtelijk managers, maar ook bestuurders, doen immers graag een beroep op onvoorzienbare en het liefst exogene factoren, mochten budgetten overschreden zijn of doelstellingen niet zijn gehaald. Het blootleggen van risico’s vooraf ontneemt managers en bestuurders de mogelijkheid om deze factoren achteraf als excuus te gebruiken.

Samengevat is het dus in de praktijk van het openbaar bestuur zelden bekend wat precies een risico is en wat de impact van dat risico is, levert de concentratie op bepaalde risicogebieden soms een tunnelvisie op, is de kans dat een bepaald risico zich voordoet niet altijd bekend, is ook de effectiviteit van de beheersmaatregelen niet altijd helder en worden risico’s soms bewust achtergehouden om daar later in de vorm van een onvoorzienbare omstandigheid een beroep op te kunnen doen. Dit maakt dat risicomanagement een hoogst subjectieve en nooit te kwantifi ceren activiteit is. Dit maakt ook, dat voorzichtig met risicomanagement moet worden omgegaan: risicomanagement mag nooit de indruk wekken dat alle risico’s bekend zijn en dat de organisatie is voorbereid op al wat komen gaat.

Ondanks de bovenstaande knelpunten blijven de meeste organisaties binnen het publiek bestel volharden in systemen van risicomanagement. Zo worden verzekeringen afgesloten, voorzieningen en reserves aangelegd, posten onvoorzien opgevoerd, wordt zwaar ingezet op de planning en control van projecten, etc. Een nadere analyse leert echter, dat deze maatregelen vrij subjectief en ad hoc genomen worden. Er bestaan grote verschillen van mening en inzicht onder de functionarissen die belast zijn met de implementatie van risicomanagement binnen overheidsorganisaties. Dit behoeft geen probleem te zijn, maar toont wel aan, dat van een objectief kader voor risicomanagement geen sprake is.

Een illustratie
Het openbaar bestuur levert voldoende illustraties van minder geslaagde vormen van risicomanagement. Zo werd binnen een gemeente vanuit de stafafdeling Planning en Control risicomanagement op de agenda gezet. De stafafdeling schreef een plan van aanpak op basis van het COSO-model en na bestuurlijk akkoord begon de afdeling risico’s te inventariseren. Om het draagvlak zo groot mogelijk te maken en vanuit het besef dat risico’s zich door de hele organisatie heen kunnen bevinden, werd iedere afdeling van de gemeente uitgenodigd om mee te doen aan de inventarisatie. Vervolgens werden de meest belangrijke risico’s geclusterd en voorzien van beheersmaatregelen. Ook bij deze slag werden de andere afdelingen uitgenodigd. Het resultaat zag er als volgt uit (tabel 3).

Risico Impact Maatregelen
Het raadsinformatiesysteem werkt niet altijd goed Groot, politieke onvrede Extra menskracht op automatisering
De algemene uitkering loopt terug Groot, raakt alle programma's Bezuinigingsmaatregelen in anticipatie
Het gevoel van onveiligheid bij burgers neemt toe Groot, raakt de gehele bevolking Extra politiecamera's in het uitgaanscentrum
Ziekteverzuim neemt fors toe Groot, raakt de gehele ambtelijke organisatie Extra inspanningsmaatregelen bedrijfsartsen
De prijs van woningen loopt terug Groot, OZB-inkomsten lopen terug Extra woningen bouwen
De coalitie is nog niet rond Groot, zonder nieuw college blijven besluiten liggen Aantrekken formateur van buitenaf

Tabel 3. Resultaten risicomanagementproject bij een gemeente

De tabel maakt duidelijk dat de valkuilen en knelpunten van risicomanagement ook deze gemeente niet bespaard zijn gebleven. Zo is een gevoel van onveiligheid bij de bevolking een zeer abstract begrip. Dit kan zich vertalen naar brandveiligheid, verkeersveiligheid en ook naar criminaliteit. De gemeente heeft echter het begrip enkel vertaald naar criminaliteit en de preventie daarvan (cameratoezicht). Verder kan men zich bij de meeste risico’s afvragen hoe deze risico’s zijn ontstaan en in hoeverre men niet aan symptoombestrijding doet. Zo rijst de vraag waarom het ziekteverzuim eigenlijk toeneemt of waarom het raadsinformatiesysteem niet goed werkt.

Vervolgens rijst de vraag in hoeverre de bovenstaande tabel de meest relevante risico’s belicht. een risico op het gebied van de algemene uitkering kan immers alleen maar in het licht van het totale eigen vermogen worden beoordeeld. als dit vermogen toereikend is, is de impact van dit risico wellicht minder groot. risico’s op het gebied van de Wmo, elders in het land zeer veelvuldig genoemd, werden in deze gemeente niet geduid.

De inschatting van risico’s is een volgend struikelblok geweest bij deze gemeente. De impact van alle risico’s wordt als groot beschouwd. Omdat zowel gebeurtenissen als ontwikkelingen als risico worden aangemerkt, is ook de impact lastig te vergelijken. een toenemend gevoel van onveiligheid is een ontwikkeling, een raadsinformatiesysteem dat plat gaat een gebeurtenis. Een ontwikkeling is te zien als een trend en heeft een andere waarschijnlijkheid om door te zetten dan een gebeurtenis. Naast een verschillende waarschijnlijkheid is de impact van deze risico’s zeer verschillend. Een impact op bevolkingsniveau of op politiek niveau is immers anders dan een impact op het geautomatiseerde systeem. De term ‘groot’ kent in de bovenstaande tabel dan ook zeer verschillende ladingen.

Uiteraard is de vraag vervolgens in hoeverre met de voorgenomen beheersmaatregelen de risico’s voldoende worden afgedekt. Over de effectiviteit van cameratoezicht kan men bijvoorbeeld lang van gedachten wisselen en ditzelfde geldt voor het bouwen van extra woningen om de OZB-inkomsten weer op peil te krijgen. In dit verband rijst de vraag overigens in hoeverre de beheersmaatregelen niet zijn geformuleerd vanuit de behoefte de positie van een afdeling te versterken. Zo is het aanstellen van meer personeel om problemen op het gebied van automatisering tegen te gaan wellicht niet de enige of meest effectieve beheersmaatregel.

Volledig was de tabel in ieder geval niet. Een maand na het verschijnen van de bovenstaande tabel werd bekend dat de bouw van het nieuwe zwembad een budgetoverschrijding kende van enkele miljoenen en dat als gevolg hiervan een fors deel van het eigen vermogen moest worden ingezet...

Conclusies
Risicomanagement heeft de afgelopen jaren binnen het openbaar bestuur zeker aan populariteit gewonnen. Hoewel de definities van risicomanagement verschillen wordt onder risicomanagement in vrijwel alle gevallen het systematisch inventariseren van risico’s en het formuleren en implementeren van beheersmaatregelen verstaan. Op zich een nobel en zelfs noodzakelijk streven om de organisatie ‘in control’ te krijgen en te houden.

Risicomanagement levert echter in de praktijk van het openbaar bestuur de nodige problemen op. Zo is niet altijd duidelijk wat nu precies onder risico’s moet worden verstaan en in hoeverre de effecten van bepaalde gebeurtenissen getraceerd moeten en kunnen worden. Ook wekt een systematische inventarisatie de indruk van volledigheid, een indruk die niet altijd waar kan worden gemaakt. Het inschatten van risico’s en de impact van risico’s is een zeer subjectieve aangelegenheid, terwijl ook het formuleren van beheersmaatregelen een arbitrair karakter kent.

Tot slot wordt risicomanagement ook wel vanuit bureaupolitieke overwegingen ingekleurd. Dit maakt dat risicomanagement in essentie een subjectieve bezigheid is. Daarmee wordt niet gesteld dat risicomanagement moet worden afgeschaft. Wel wordt in deze bijdrage gewaarschuwd voor de valse verwachtingen die risicomanagement kan wekken, i.e. dat hiermee alle relevante risico’s in beeld kunnen worden gebracht, dat hiermee de effecten goed getraceerd kunnen worden en dat adequate beheersmaatregelen geformuleerd kunnen worden, waarmee risico’s uiteindelijk gereduceerd kunnen worden. De praktijk van het openbaar bestuur wijst immers soms geheel anders uit. Wellicht is het raadzaam om als organisatie voorbereid te zijn op het onverwachtse, een inzicht dat het meest recente congres van de international research Society for Public management in dit verband opleverde. Dit houdt in, dat flexibiliteit om in te spelen op onverwachte omstandigheden van cruciaal belang wordt en dat ook de bedrijfsvoering van een organisatie de nodige flexibiliteit moet kunnen betrachten (vgl. IRSPM, 2010).

Dr. R.J. Anderson is werkzaam als lector public controlling bij hogeschool INHolland en verbonden als docent bij NIVRA Nyenrode.

Literatuur

  • Aart, L.J. e.a., Polybeveiligingsboekje, Koninklijke PBNA, Arnhem, 1990.
  • Bannister, J.E., Bawcutt, P.S., Practical Risk Management, Witherby & CO. LTD, London, 1981.
  • Carter, R.L. e.a., Risk Management, CII Tuition Service, London, 1981.
  • Claes, P., Risicomanagement, Wolters Noordhof, Groningen, 2007.
  • Haller, M., Sicherheit durch Versicherung?, Herbert Lang, Bern, 1975.
  • Hoffmann, K., Risk Management, Verlag Versicherungs Wirtschaft, Karlsruhe, 1985.
  • International Research Society for Public Management, Bern, april 2010.
  • Louwman, J.H.G., Steens, H.B.A., Risicomanagement, een beheersingsmodel, Kluwer, Deventer, 1994.
  • Taleb, N.N., De zwarte zwaan, Nieuwe Zijds B.V., Amsterdam, 2008.
  • Veld, R.J. in ‘t, De verguisde staat, VUGA, Delft, 1989.
  • Williams, C.A., Heins, R.M., Risk Management and Insurance, McCraw Hill, New York, 1989.
Sluiten