Risico's managen in de 21ste eeuw

Maatschappelijke ontwikkelingen
In het publieke domein is een ontwikkeling gaande waarbij de overheid risico’s afwentelt op maatschappelijke organisaties. Deze trend wordt wel aangeduid als Government to Governance en is al in 1995 beschreven door Mark Moore¹ in zijn standaardwerk Creating Public Value. Volgens de Nederlandse hoogleraar Goos Minderman² is deze beweging in Nederland al gaande sinds de jaren ’80 van de vorige eeuw. Volgens Moore verschuift de overheid taken van het centrale naar het decentrale niveau, maar er worden ook taken verschoven vanuit de overheid naar het maatschappelijk middenveld en naar de markt. Hierbij worden niet alleen taken, maar ook risico’s overgedragen die verbonden zijn met het uitvoeren van deze taken. Uit verschillende maatschappelijke incidenten blijkt dat hiermee doorgaans onvoldoende rekening wordt gehouden, zowel door de politiek als door de organisaties die maatschappelijke taken overnamen. De Raad voor Maatschappelijke Ontwikkeling publiceerde onlangs het rapport ‘Tegenkracht organiseren’³, waarin wordt aangegeven dat met het optreden van perverse effecten duidelijk wordt welke risico’s in die overgedragen systemen verscholen zijn.

Verschuiving van taken en risico’s

Er zijn in elk onderdeel van de publieke sector wel voorbeelden te vinden van dit terugtreden van de overheid, dat gepaard gaat met het overdragen van risico’s. In de gezondheidszorg zien we dat een verandering wordt doorgevoerd in de financiering van huisvesting: er is afscheid genomen van lumpsum/budgetfinanciering en via de zogenoemde Normatieve Huisvestings Component (NHC) wordt een vergoeding voor huisvestingskosten gekoppeld aan het geleverde product of dienst (ZZP, DBC/DOT) aan de zorginstelling toegekend. De boodschap hierachter is: de overheid betaalt niet meer voor plaatsen die niet worden bezet. We zien iets soortgelijks bij de decentralisatie in de thuiszorg. Bij de overheveling van voorzieningen vanuit de AWBZ, een (min of meer open einde) volksverzekering met recht op zorg, naar de WMO met een voorzieningenregime dat budgetvrijheid geeft aan individuele gemeenten (gesloten einde). Gemeenten krijgen bij de overdracht ook nog een efficiencytaakstelling. Zij hebben geen andere keuze dan meer risico’s (bezetting, kosten en kwaliteit van zorg) te leggen bij instellingen en uitvoeringsorganisaties. In het onderwijs zien we het overdragen van risico’s via de outputfinanciering, het financieren van diploma’s. De gevolgen van uitvallers en trage studenten komen voor rekening van de onderwijsinstellingen. Dit brengt risico’s mee voor de kwaliteit van het onderwijs en de ‘waarde’ van diploma’s, dat is wel duidelijk geworden.
In de volkshuisvesting zag de overheid ervan af om zelf te investeren in de zogenaamde ‘krachtwijken’ (wijken in vooral grote steden met specifieke sociale en volkshuisvestelijke problematiek). In plaats daarvan werd een herverdeling van risico’s afgedwongen binnen de corporatiesector: corporaties gingen verplicht meebetalen aan de risico’s van enkele corporaties in de krachtwijken via een speciale heffing. Dit zouden ze kunnen terugverdienen via extra huurverhogingen en extra verkopen van bezit. Maar daar kon door de recente economische ontwikkelingen niet veel van terechtkomen. Een recent paper van Van Eijck en Lindeman⁴ naar de maarschappelijke waarde van woningcorporaties maakt ook goed duidelijk dat een heroriëntatie op maatschappelijk ondernemerschap nodig is.

Effect op maatschappelijke organisaties
Het afwentelen van risico’s door de overheid op maatschappelijke organisaties heeft dus tot gevolg dat bestuurders en toezichthouders te maken krijgen met grotere risico’s. Wat betekent dit tot nu toe voor hun houding ten opzichte van deze risico’s en voor de wijze waarop zij hun ‘management van risico’s’ vormgeven?

Veel, zou je verwachten, zeker omdat deze risico’s steeds manifester blijken te worden, zoals recent bij woningcorporatie Vestia, zorgorganisatie Stichting Zonnehuizen en onderwijsinstelling Inholland. In al deze gevallen is er grote financiële schade ontstaan (tot en met faillissement), grote reputatieschade (voor de sector, de organisatie en betrokken bestuurders/ toezichthouders) en veelal ook schade voor andere stakeholders, zoals cliënten en medewerkers bij Zonnehuizen of studenten van Inholland.
Maar in de praktijk wordt de toename van de risico’s nog niet vaak vertaald in een adequate en doortimmerde aanpak van risicomanagement. De aandacht van bestuurders voor risicomanagement is nog beperkt, de relatie met strategie en missie wordt maar mondjesmaat gelegd en de instrumenten en processen zijn nog onvoldoende ontwikkeld.

We zien nog steeds dat bestuurders zich beperken tot down play of uitstelgedrag als het gaat om risicomanagement: als de raad van toezicht erom vraagt of als er opmerkingen in de managementletter staan, wordt een klein project opgezet, zo mogelijk met de accountant zodat die ook gecommitteerd is, en voorlopig kan het bestuur roepen dat ze ermee bezig zijn.

Blijkbaar levert het traditionele risicomanagement voor veel bestuurders niet genoeg op om echt geïnteresseerd te raken. Het haalt onvoldoende bruikbare informatie naar boven om hen te helpen met belangrijke strategische keuzes of bij reflectie op hun koers en handelen. Het is niet verbonden met ‘maatschappelijk ondernemerschap’⁵, waarmee wij bedoelen: het opereren binnen een zelf geformuleerde brede maatschappelijke opdracht, gericht op de creatie van maatschappelijke meerwaarde, met verankering bij externe stakeholders. Traditioneel risicomanagement gaat uit van beheersen, beperken, vermijden en werkt daardoor verlammend. De gebruikte modellen en werkwijzen zijn veelal niet effectief.

Power spreekt in een kritisch artikel uit 2009 over the risk management of nothing.⁶ Traditioneel risicomanagement heeft de blik voornamelijk gericht op de eigen interne organisatie en op het verleden. Het zoekt oplossingen in eindeloze sets van risk controls en procedures waarmee (veelal operationele) risico’s gereduceerd zouden moeten worden en heeft een blinde vlek voor de vertaling van de (maatschappelijke) vraagstukken om de organisatie heen. Recent hebben Paape en Speklé⁷ in een onderzoek naar de effectiviteit van risicomanagementframeworks geconcludeerd dat toepassing van het thans nog veel gebruikte COSO-risicomanagementmodel op zich de kwaliteit van risicomanagement niet verhoogt en dat het kwantificeren van risicobereidheid niet bijdraagt aan de effectiviteit. Daarentegen geeft Mikes⁸ aan dat juist de cultuur waarbinnen instrumenten gebruikt worden, bepalend is voor de effectiviteit.
Bij strikte toepassing van een traditioneel framework kan een calculatieve cultuur ontstaan. In dergelijke gevallen verwordt risicomanagement tot een legitimeringsinstrument: het draagt niet bij aan het realiseren van doelstellingen van de organisatie.

Risicomanagement nieuwe stijl
Het wordt voor bestuurders steeds belangrijker om de blik op de toekomst te richten, ontwikkelingen in de omgeving te duiden en om strategieën te formuleren waarbij de organisatie ‘robuust’⁹ gemaakt wordt voor allerlei verwachte en onverwachte ontwikkelingen. Het vakgebied risicomanagement zou moeten aansluiten bij deze ontwikkelingen en een blik op de toekomst moeten bieden. Dan kan het uitgroeien tot een waardevol hulpmiddel bij het vormgeven aan maatschappelijk ondernemerschap. Dit betekent meer aandacht voor het vaststellen van risicobereidheid: dus niet per se risico’s beperken, maar vanuit je missie en visie bewust handelen en soms zelfs risico’s opzoeken om iets (nieuws) te bereiken. Zie voor een nadere toelichting het onderzoek naar risicobereidheid¹⁰ bij financiële instellingen van Heidema, Sluijters en Schram uit 2010. Het betekent ook meer aandacht voor niet goed meetbare risico’s (onzekerheden in het beheersingsjargon), en meer nadruk op risicobewustzijn in de organisatie als hulpmiddel bij effectief signaleren en beheersen van risico’s.
Bij dit ‘risicomanagement nieuwe stijl’ passen andere werkwijzen en methoden, zoals open dialoog/discussie over risico’s, scenarioverkenningen (Power), het gebruik van niet-calculatieve methoden van risico-inschatting en toepassingen van sociale wetenschappen zoals de organisatiepsychologie, die nuttige inzichten biedt in wat mensen beweegt tot handelen (drijfveren, waardenmanagement, mindbugs) en die de irrationele aspecten van menselijk handelen onderzoekt. Het gaat immers om het handelen en gedrag van managers, bestuurders en toezichthouders op basis van vooruitzichten en niet op basis van historische cijfers als verantwoording achteraf. Risicomanagement doet daarmee veel meer een beroep op de creativiteit, het innovatief vermogen en het ondernemerschap van deze actoren. Dit alles vraagt om een multidisciplinaire benadering. Hierbij hoort ook een ander ‘eigenaarschap’ van risicomanagement in de organisatie: het kan niet (langer) het exclusieve domein zijn van controllers en internal auditors.

Vijf manieren om risicomanagement te moderniseren
Het voert te ver om alles uit te werken in het bestek van een artikel, maar toch geven we hieronder vijf factoren waarmee risicomanagement wordt gemoderniseerd en beter kan worden ingezet bij het ondersteunen en borgen van maatschappelijk ondernemerschap.

1. Het definiëren van een risicobereidheid, vanuit de missie en visie van de organisatie. In het dagelijks taalgebruik heeft risico een negatieve connotatie (zie Van Dale). Maar het uitbannen van risico’s is onmogelijk en het is niet effectief om alleen te proberen om risico’s te reduceren. Het bestuur en het management moeten bepalen welke omvang van risico’s acceptabel is en welke niet. Naarmate de bezuinigingsdrang van de overheid toeneemt zullen bestuurders ofwel creatiever moeten worden in het organiseren van processen ofwel zij zullen de risicotolerantie moeten laten toenemen. Door dat laatste inzichtelijk te maken kun je duidelijk aangeven wat de gevolgen van de bezuinigingen zijn en kun je oplossingsgericht ondernemen stimuleren.
2. Meer aandacht voor risicobewustzijn: zijn de belangrijkste risico’s niet alleen geïdentificeerd maar ook gecommuniceerd binnen de organisatie? Dit kan plaatsvinden via ‘open dialoog’-workshops die gericht zijn op praktijkcases. Weten bijvoorbeeld de zorgprofessionals wat het effect is op de continuïteit van hun organisatie als zij consequent duurdere zorg verstrekken dan wordt gefinancierd? En hebben zij ruimte gekregen om dit risico zelf af te wegen tegen andere relevante risico’s, zoals aansprakelijkheid voor fouten in de zorgverlening? Voor een onderwijsinstelling of een woningcorporatie gelden andere maar soortgelijke inherente bedrijfsrisico’s. Het middle management en de medewerkers kunnen via workshops en trainingen bewust gemaakt worden van hun rol, hun verantwoordelijkheid en hun eigen beslissingsruimte bij het managen van deze risico’s.
3. Naast een andere houding tegenover risico’s moeten bestuurders en managers ook op een andere manier risico’s ‘managen’. Zij kunnen niet alleen vertrouwen op procedures en het beheersen van werkprocessen (traditioneel!), maar moeten ook kijken naar hun manier van aansturen en naar de vrijheid die zij geven aan de uitvoerende professionals. Bij deze vorm van empowerment van medewerkers past ook het decentraliseren van verantwoordelijkheden en sturend vermogen. Hierdoor ontstaan andere organisatieprincipes, zoals bijvoorbeeld het ‘buurtgerichte zorgconcept’ in de thuiszorg met meer beslissingsbevoegdheid en handelingsvrijheid van zorgprofessional in directe relatie met de cliënt. Instrumenten zoals waardenmanagement of management drives kunnen hierbij behulpzaam zijn. Via dergelijke instrumenten ontstaat een ‘taal’ in de organisatie waarmee verschillen in menselijke drijfveren en het bijbehorend gedrag inzichtelijk kunnen worden gemaakt. Door de relatie te leggen met risico’s en de beheersing ervan wordt het ‘arsenaal’ aan beheersmaatregelen verbreed.
4. Gekoppeld aan het vorige punt moeten bestuurders en managers het accent verleggen van risicoanalyse en het plannen van beheersmaatregelen naar het doen uitvoeren, monitoren en evalueren van die maatregelen. Dus minder nadruk op plan-do en meer op check-act. Veel risicomanagementprojecten lopen in de praktijk vast na de risicoanalyse, als er daadwerkelijke veranderingen in processen, structuren en de wijze van aansturing moeten worden doorgevoerd. De sleutel tot succes is hier het goed vastleggen van het ‘risico-eigenaarschap’ in de organisatie en het tonen van voorbeeldgedrag aan de top.
5. Control moet een faciliterende rol en ook niet méér dan dat vervullen bij het risicomanagement. De verantwoordelijkheid voor het managen van risico’s is onlosmakelijk verbonden met de verantwoordelijkheid voor het leveren van prestaties en het leveren van maatschappelijke meerwaarde. Dit betekent dat professionals voldoende vrijheid en beslisruimte moeten hebben om afwegingen te maken in hun werk. Daarbij zullen zij steeds risico’s moeten nemen. Het is onhaalbaar en zelfs onwenselijk om te proberen de omgang met risico’s dicht te regelen met instructies en procedures. Dat is een ontkenning van de professionaliteit van medewerkers. In plaats daarvan moet juist meer geïnvesteerd worden in het bespreken van de gewenste en ongewenste manieren om met inherente bedrijfsrisico’s om te gaan. Dat kan bijvoorbeeld via interactieve workshops op basis van cases, maar ook nieuwe media kunnen hierbij worden ingezet. Denk bijvoorbeeld aan manieren om anoniem en beschermd vragen te kunnen stellen.

Rol van de controller
Het lijkt gezien het voorgaande misschien vreemd, maar toch denken wij dat dit voor de controller een verbreding inhoudt van het vak en misschien zelfs een verrijking. Wij zien hiervoor drie redenen.

• Risicomanagement wordt door de nieuwe insteek duidelijker de health check van de strategie: is het haalbaar? Dit zet de controller in de rol van kritisch, maar betrokken adviseur van het management en aanjager van vernieuwing.
• Het vraagt van de controller meer van diens soft skills. Het risicomanagement nieuwe stijl gaat niet zozeer om naleving van procedures en tick the box-beheersing, maar veel meer om het inschatten van de wijze waarop het management processen en medewerkers aanstuurt en de wijze waarop professionals hun afwegingen maken. Het vraagt om een goed EQ om daarover gegevens te verzamelen, tot informatie te verwerken en een oordeel te kunnen geven ten behoeve van het management. De controller levert veel meer dan voorheen de informatie voor de strategische keuzes en over de consequenties van het (voorgenomen) handelen.
• Last but not least zal de controller op een creatieve wijze indicatoren over de werking van het risicomanagementsysteem moeten vinden om deze te integreren in internal audit en managementcontrolsystemen. Zodat de organisatie zoveel mogelijk evidence based omgaat met risico’s naar aanleiding van creatief en innovatief handelen van management en medewerkers en de wijze waarop dit in lijn ligt en wordt gebracht met de missie en strategische doelen van de organisatie.

Slot
We hebben in dit artikel aangegeven dat een nieuwe oriëntatie op risicomanagement noodzakelijk is. Omdat bestuurders en toezichthouders van maatschappelijke organisaties steeds grotere risico’s overgedragen krijgen door de overheid, hebben zij behoefte aan ondersteuning en borging van maatschappelijk ondernemerschap. Risicomanagement kan daarin voorzien, maar dan is een meer op de strategie en de toekomst gerichte blik nodig en tevens een bredere, meer multidisciplinaire blik. Een prachtige uitdaging voor public controllers om daarin te voorzien!

Teun Sluijters en Wouter Groot zijn partner bij Public Impact, een adviesbureau gespecialiseerd in governance, finance en strategievraagstukken voor het publieke domein.
Klaas Franken is eigenaar van Fineut, een netwerkorganisatie van finance professionals gespecialiseerd in woningcorporaties.

Noten
¹ Moore, M. (1995), Creating Public Value Strategic Management in Government, Cambridge.
² Minderman, G.D. (2008), Legitimatie & Verankering, Amsterdam.
³ Raad voor de Maatschappelijke Ontwikkeling (2012), Tegenkracht Organiseren, Den Haag.
⁴ Lindeman, B., Van Eijck, K.H., Public Value of Dutch Housing Corporations, Het Zijlstra Center, Amsterdam, 2012.
⁵ Minderman, G.D. en anderen (2010), De school als maatschappelijke onderneming, Amsterdam.
⁶ Power, M. (2009), ‘The Risk Management of Nothing’, Accounting, Organizations and Society, 34, pp. 849-855.
⁷ Paape, L en Speklé, R.F. (2012), ‘The adoption and Design of Enterprise Risk Management Practices: An Empirical Study’, European Accounting Review.
⁸ Mikes, A. (2009), ‘Riskmanagement and calculative cultures’, Management Accounting Research, 20, pp. 18-40.
⁹ Taleb, N.N. (2010), The Black Swan: The Impact of the Highly Improbable, New York, en het post script essay ‘On robustness and Fragility’ (2010) bij dit boek.
¹⁰ Heidema, S., Sluijters, A. en Schram, S. (2010), ‘Risicobereidheid als uitgangspunt voor handelen, in Banking Review’, 2010, pp. 54-56.