Strategische betekenis van risicomanagement
31 oktober 2012 om 14:54 0 reacties
Het bestaande risicomanagement heeft in de praktijk de vorm gekregen van verantwoording en legitimatie, want de organisatie wil gedekt zijn tegen overtreding van de governancecode en wet- en regelgeving met instemming van de accountant. Maar organisaties willen ook steeds meer op strategisch niveau sturen op de kansen en bedreigingen voor de doelstellingen. Hoe kan de praktijk van risicomanagement worden aangepast om meer strategische betekenis te ontwikkelen?
Het bestaande risicomanagement staat aan stevige kritiek bloot. Van vele kanten worden suggesties gedaan voor een betere toepassing. Maar de kunst is een nieuwe praktijk te creëren die aan de kritiek tegemoetkomt. Nu is een interessante ontwikkeling gesignaleerd bij banken waar een sceptische houding ten aanzien van risicoberekeningen bijdraagt aan een stevige interne discussie tot op het hoogste niveau binnen de bank. Deze praktijk blijkt impact te hebben op de strategie van de bank. Daarom noemen wij die een praktijk van strategisch risicomanagement. Onder begeleiding van het Veranderlab gaat een tiental gemeenten nu ook in de publieke sector vorm geven aan een dergelijke praktijk. |
Explosie van risicomanagementpraktijk
Na de formalisering in het COSO-model is sinds de jaren ’90 van de vorige eeuw het toepassen van risicomanagement geëxplodeerd (Power, 2004). In relatief korte tijd heeft het een grote opmars laten zien bij beursgenoteerde ondernemingen en al spoedig ook in andere bedrijven en publieke en non-profitorganisaties. Dit succes van risicomanagement hangt samen met het feit dat risicomanagement in vele situaties inpasbaar is gebleken (Power, 2007). Zowel in organisatorisch opzicht (verantwoordelijkheden tot en met Chief Risk Officer), als qua personeelsvoorziening (opleidingen, beroepstitels etc.) en wat betreft producten binnen organisaties (risicoparagraaf, weerstandsvermogen) blijkt zich in korte tijd een uitgebreide praktijk van risicomanagement te hebben gevormd.
Het succes heeft geleid tot een alomtegenwoordige praktijk, waarbij risico’s worden geïnventariseerd en beoordeeld op frequentie en impact. Als een risico in (één van) beide categorieën hoog scoort, is het raadzaam het te proberen te verkleinen door de schade te verminderen of de kans van optreden te verkleinen. Aldus worden beheersmaatregelen opgesteld om deze vervolgens te effectueren. Maar hiermee wordt slechts een deel van de stappen uit het COSO-model daadwerkelijk gezet. Aan voorafgaande stappen, zoals het bepalen van de risk appetite, komt men in de praktijk vaak niet toe. Ook vervolgstappen, zoals het monitoren van de beheersmaatregelen, worden vaak niet structureel uitgevoerd.
Kritiek op risicomanagement
Zowel in de praktijk als in de wetenschap wordt geconstateerd dat het risicomanagement niet werkt zoals bedoeld. Ten eerste blijkt in de praktijk vaak dat het voornaamste doel is de risico’s te registreren in plaats van bedreigingen weg te nemen en kansen te pakken. Zodra het managementteam de risico’s – eventueel samen met beheersmaatregelen – heeft vastgesteld in haar overleg, zwakt ieders aandacht veelal sterk af. Ook voor projecten geldt dat ze initieel alleen groen licht krijgen met een risicoparagraaf in het startdocument, maar gedurende het project blijkt het gevestigde risicomanagement minder effectief om bedreigingen weg te nemen (De Bakker, 2011).
Ten tweede blijken risico’s vaak slechts te worden geïdentificeerd op het niveau van uitvoering. Maar risicomanagement heeft de bedoeling aan te grijpen op strategisch niveau. Het kan bijvoorbeeld effectiever zijn om een plan geheel anders aan te pakken of een alternatief concreet doel te realiseren in plaats van vele beheersmaatregelen te nemen (Holt, 2004).
Ten derde blijven moeilijke complexe problemen vaak buiten beschouwing. Zo worden in de bouw zogenaamde lineaire bedreigingen voor de bouw (levertijdrisico, helmplicht etc.) wel gemanaged. Maar het is de vraag of alle risico’s in verband met complexe zaken, zoals aanpassingen tijdens de bouw of de functionaliteit van het gebouw, in de toekomst wel in beeld zijn (zie het kader over Heathrow).
Tamme, rommelige en doortrapte problemen op Heathrow In de studie naar het risicomanagement van de nieuwbouw van de Heathrow Terminal 5 laten Hancock & Holt (2003) zien hoe het perspectief op problemen van doorslaggevend belang kan zijn. Het risicomanagement tijdens het project bestond onder meer uit een workshop in 1996 en één in 2000. Bij de eerste workshop gingen de deelnemers ervan uit dat de problemen compleet gecategoriseerd konden worden in verschillende aandachtsgebieden (bouw, milieu, contracten etc.) en door betreffende experts en specialisten kon worden bepaald. Veel discussie ging op aan bijvoorbeeld de indeling in frequentiecategorie ‘kleine kans’ of ‘hele kleine kans’, maar niet of er bijvoorbeeld risico’s over het hoofd werden gezien. De tweede workshop had een andere insteek, waarbij de complexiteit van het project, de samenhang van verschillende onderdelen (leidend tot messy of rommelige problemen) en menselijk gedrag onder ogen werd gezien (leidend tot wicked oftewel doortrapte problemen). In deze workshop werd veel meer gediscussieerd over de veronderstellingen van de specialisten en gesproken over hoe de risico’s te managen. Nu werden veel strategischer risico’s geïdentificeerd zoals continuing business-as-usual behaviour, protestors action disrupt project, lack of integration between systems en inability to manage project changes. Door deze benadering heeft het project belangrijke risico’s ontdekt, werd de betrokkenheid vergroot en het risicobewustzijn verhoogd. |
Ten vierde signaleren Power (2007) en anderen dat het risicomanagement in grote mate gestuurd wordt door de benaderingswijze van accountants. Er is sprake van een zogenaamde logic of auditability, die eigen is aan het COSO-model. Nu hoeft dat niet te verbazen, omdat de COSO bestaat uit vijf sponsoring organizations waaronder de beroepsvereniging van publieke accountants en de vereniging van interne auditors.
Bestaande adviezen
De problemen met de praktijk van risicomanagement zijn niet nieuw. Al vanaf de originele inrichting van risicomanagement bijvoorbeeld door COSO (1992) tot en met de latere uitbreiding tot Enterprise Risk Management (COSO, 2004) worden er adviezen opgenomen over positionering van het risicomanagement en de relatie met de cultuur van de organisatie. Geregeld is er aandacht gevraagd voor de juiste focus en bijvoorbeeld integraliteit (’t Hart, 2010). Ook wordt wel gesteld dat organisaties hun risico’s moeten omarmen (Financieel Dagblad dossier, september 2011). En Claasen (2009) stelt voor de medewerkers te betrekken bij het proces, de juiste doelen te kiezen en meer aandacht te geven aan risico’s. Met al deze goede adviezen op zak blijft de vraag: hoe doet een organisatie dat dan? Hoe kan een organisatie structureel aan de slag met verbetering van haar risicomanagement?
Wetenschappelijke achtergrond
Een organisatie kan aan de slag door vernieuwing van haar praktijk. De ingrediënten voor vernieuwing van de praktijk zijn te vinden in het onderzoek van Robert Simons, Robin Holt, Anette Mikes en Karel de Bakker. De essentie is dat er onderling over de risico’s moet worden gesproken. Zo geeft Simons (1994) in zijn Levers of control al aan hoe om te gaan met strategische onzekerheid. In Simons’ benadering gebruikt de CEO de hefboom van interactive control om de strategisch onzekerheid te beheersen door daarover in dialoog te gaan met zijn organisatie.
Robin Holt (2004) gaat daar in zijn paper met de veelzeggende titel Risk Management: the Talking Cure verder op in en beargumenteert dat risico’s besproken moeten worden. Want risico’s zitten verscholen in de complexiteit van de problematiek en ieders individuele cognitieve capaciteiten schieten te kort om die te identificeren. De enige mogelijke benadering is ieders kennis en ervaring in een gesprek te verkennen; daarmee groeit het bewustzijn en attentheid op gebeurtenissen. Het vraagt een onderzoekende, open houding en de bereidheid de onzekerheid te aanvaarden en dus voor een deel te erkennen dat risico’s niet te beheersen zijn (zie kader over ‘Virtu’). Want de enige zekerheid die de mens heeft is dat het anders gaat lopen dan hij verwacht.
‘Virtu’ van Machiavelli Ter karakterisering van de benodigde houding gaat Holt (2004) terug naar het begrip van het Italiaanse ‘virtu’ uit het boekje De Prins van Machiavelli. Gebaseerd op zijn ervaring in de Italiaanse stadsstaat Florence beargumenteert Machiavelli dat de heerser de complexiteit van mogelijke toekomstige omstandigheden moet bestuderen. Dat hij slim en wijs, maar soms ook sluw moet inspelen op wijzigingen in de omstandigheden. Hij moet attent zijn op mogelijk voordeel, maar altijd bewust zijn dat het lot anders kan beslissen. Laat de heerser bescheiden zijn in het aangezicht van Vrouwe Fortuna, want degene die overmoedig wordt, zal geheel onverwachts getroffen worden. Het zal van beslissend voordeel zijn de menselijke motivatie en overtuiging te doorzien, wat een bureaucraat, een ingenieur en een egocentrist vreemd is, maar cruciaal voor een Prins, aldus Machiavelli. Risicomanagement is in dit perspectief niet een helder concept van een probleem gekoppeld aan oplossingsmogelijkheden, maar oordeelsvorming begrensd door de wisselvalligheid van budgetten, programma’s, persoonlijkheden en prioriteiten die continu bevochten worden (Holt, 2004). |
Annette Mikes (2009) heeft in haar onderzoek bij banken een praktijk geïdentificeerd die vorm en inhoud geeft aan de talking cure van Holt. Bij banken is risicomanagement in zekere zin de core business en bestaat uit veel berekeningen en kwantitatieve analyses van markten en het gedrag van de handelaren. Ze onderscheidt een kwantitatief enthousiaste cultuur en een kwantitatief sceptische cultuur. De bank met de enthousiaste cultuur kent een risicomanagementpraktijk met een reguliere werking in de planning- en controlcyclus. Als een berekend risicopercentage buiten de afgesproken bandbreedte valt, gaat de bank over tot actie om het risico terug te brengen. In de bank met de sceptische houding daarentegen leidt hetzelfde rekenwerk eerst tot bespreking van het risico, en wel tot op het hoogste niveau van de bank. De sceptische directie bespreekt daardoor regelmatig een strategisch risico dat intern in de organisatie is voorbereid onder verantwoordelijkheid van de Chief Risk Officer (zie kader ‘Een sceptisch kijk ...’). De directie bekijkt eerst of de analyse nog vragen oproept en bespreekt vervolgens geruime tijd wat de achterliggende veronderstellingen zijn en of het risico een weerslag vormt van de reële economie, of dat het een trend weerspiegelt in de samenleving en of het naar ieders oordeel betekenisvol is voor de bank en haar strategie. Daarmee verkrijgt het risicomanagement impact op de strategie van de organisatie.
Een sceptische kijk op risicomanagement Mikes laat in haar artikel over risicomanagement bij banken de betrokkenen aan het woord. Ter illustratie van de sceptische houding bij een van de banken citeert ze de Director of Operational Risk Controlling: “I don’t know if I should put all my effort into risk measurement to quantify [given that] when it really happens my figure would be for sure completely wrong. So why should I put all my resources into something that is senseless? … If you look at the losses, most of them are based on human behavior – now how do you measure it?” En de CRO zegt: “I have doubts whether you actually can define things such as key risk indicators on operational risk. Maybe the thing kind of evades as soon as you start measuring it. Which is not bad – then you have solved at least your perceived problem. Instead of this, however, I agree with the Director of Operational Risk that it is highly judgemental. It is a question of how you can bring in that judgement.” (Mikes, 2009) |
Tot slot komt ook Karel de Bakker (2011) in zijn proefschrift Dialogue on Risk tot de conclusie dat aandacht voor risico’s van belang is voor het succes van projectmanagement. In zijn experimentele opzet blijkt het stimuleren van de dialoog over risico’s effectiever dan het hanteren van een systematiek voor risicobeheersing.
Contouren van een nieuwe praktijk
Op grond van het bovenstaande doemen de contouren op van de potentiële innovatie van de praktijk van risicomanagement op die hier wordt voorgesteld. Deze kunnen worden gekenmerkt door drie aspecten. Ten eerste wordt op regelmatige basis een risico besproken op het hoogste managementniveau van de organisatie. Hiermee wordt letterlijk de tone at the top beïnvloed. Ten tweede moet de voorbereiding gebaseerd zijn op dialoog met betrokkenen binnen en buiten de organisatie op zoek naar de bestaande kennis over het risico. In de dialoog moet gezocht worden naar wat er mis kan gaan en dat is vaak te vinden in de complexiteit van de uitvoering, de doelstelling en de samenleving. Ten derde is de houding cruciaal waarmee de gesprekken worden gevoerd en waarmee de risico’s worden geanalyseerd. Het risicomanagement is namelijk gebaat bij een sceptische houding ten opzichte van de bestaande opvattingen en een open houding naar gesprekspartners met eventuele nieuwe inzichten. Omdat het management juist de belangrijke taak heeft om zekerheid te bieden over de koers en strategie van de organisatie, vergt het moed van het management om ook ónzekerheid toe te laten in verband met risicomanagement.
De genoemde punten van debat op het hoogste niveau, voorbereiding intern en een houding van openheid zullen mogelijk effect hebben op de cultuur van de organisatie. Het voorbeeldgedrag en de voorbeeldhouding van de leiding over een langere periode kunnen bijdragen aan een groter risicobewustzijn en een cultuur van risico’s ontdekken in plaats van afdekken.
Innovatieonderzoek Binnen het Veranderlab zullen de deelnemers in workshops inspiratie, kennis, vaardigheden opdoen door de wetenschappelijke input en reflectie en door de interactie met elkaar. De uitkomsten zullen door de partners worden vastgelegd in een gezamenlijk Handvest. |
Dr. Pieter M. Veen CPC (p.m.veen@vu.nl) is werkzaam bij het Zijlstra Center for Public Control and Governance aan de Vrije Universiteit.
Met dank aan Robert ‘t Hart van het Nederlands Adviesbureau Risicomanagement.
Literatuur
- De Bakker, K., 2011, Dialogue on Risk: Effects of Project Risk Management on Project Success – proefschrift, Rijks Universiteit Groningen.
- Claassen, U., ‘ISO 31000: oude wijn in nieuwe zakken’, TPC, april 2009, pp. 26 e.v.
- COSO 1992, Internal Control – Integrated Framework, www.coso.org, AICPA.
- COSO 2004, Enterprise Risk Management – Integrated Framework, www.coso.org, AICPA .
- Hancock, D., Holt, R., 2003, Working Paper WPS 054: ‘Tame, Messy and Wicked Problems in Risk Management’, ISSN 1478-8209.
- ‘t Hart, R., 2010, ‘Een positieve blik op modellen voor risicomanagement’, TPC, augustus 2010, pp. 26 e.v.
- Holt, R., 2004, ‘Risk Management: the Talking Cure’, Organization, 11, pp. 251 etc.
- Mikes, A., 2009, ‘Risk management and calculative cultures’, Management Accounting Research, 20, pp. 18 etc.
- Power, M., 2007, Organized Uncertainty: Designing a World of Risk Management, Oxford University Press, Oxford.
- Power, M., 2009, ‘The Risk management of Nothing’, Accounting, Organizations and Society 34, pp. 849 etc.
- Simons, R., 1995, Levers of control: how managers use innovative control systems to drive strategic renewal, Harvard Business Press.