рHet belang van goed risicomanagement wordt breed erkent, maar aan de manier waarop dat binnen een organisatie geïmplementeerd wordt, schort dikwijls nog het nodige.с
Binnen organisaties groeit het besef dat meer aandacht besteed moet worden aan risicomanagement. Dat geldt voor commerciële bedrijven, non-profit organisaties en overheden. Alleen ontbreekt vaak de kennis om de risico’s te identificeren en te analyseren, laat staan die te beheersen. “Daarvoor is in de eerste plaats noodzakelijk dat anders dan nu vaak het geval is aangekeken wordt tegen het fenomeen risk management”, zegt René van Beekum.
Van Beekum heeft recht van spreken. Hij stond aan de wieg van de inbedding van risk management bij DSM en deed op dat gebied ook ervaring op in de wereld van woningcorporaties. Daarnaast doceert hij aan de Universiteiten van Maastricht en Tilburg en geeft hij onder meer opleidingen voor Euroforum. “Bij DSM bijvoorbeeld moest de riskmanager aanvankelijk rapporteren aan de financieel directeur. Die lijn zie je bij veel bedrijven, maar risicomanagement is veel meer dan het ordenen van cijfers of het analyseren van financiële risico’s en moet daarom uit de financiële hoek getrokken worden. Als riskmanager ben je niet het verlengde van de accountant of de controller. Een organisatie loopt risico’s op veel meer terreinen.”
Bij overheidslichamen is dat anders georganiseerd, maar ook daar geldt dat risk management te beperkt wordt bezien. “Daar valt mij op dat het teveel compliance gericht is. Het voldoen aan de regels is echter nog geen garantie dat je als organisatie de risico’s onder controle hebt.”
Hoe moet je dan wel succesvol een traject opzetten? “Door het ontwikkelen en implementeren van standaard processen.”Een kort antwoord van Van Beekum, maar daar blijkt een hele wereld achter schuil te gaan. “Tijdens mijn cursussen laat ik zien hoe belangrijk standaardisatie is, maar ook dat processen flexibel moeten zijn. Op het eerste gezicht lijkt dat in tegenspraak met elkaar te zijn, maar alle deelnemers herkennen de praktijk dat elke afdeling in een bedrijf of andere organisatie van mening is uniek te zijn en als het ware een ‘eigen risicobeoordeling’ verdient. Natuurlijk hebben afdelingen inderdaad een eigen taakopdracht, worden zij gehouden aan het behalen van bepaalde targets en zullen zij het argument hanteren dat zij niet meer afgerekend kunnen worden op hun resultaat als zij door standaard processen voor de voeten worden gelopen.
Maar daar staat tegenover dat vooral in grotere organisaties de processen zo complex zijn dat je die niet per afdeling kunt managen. Het ligt voor de hand dat het niet efficiënt is om elke keer het wiel te moeten uitvinden, maar ook zijn de risico’s waar een volledige organisatie aan bloot staat méér dan de optelsom van de risico’s per afdeling en ook van een andere orde. De riskmanager zal moeten opereren binnen dat spanningsveld. Hij zal de autonomie van de afdelingen zoveel mogelijk moeten respecteren zonder de standaarden van zijn processen geweld aan te doen.”
Dat vraagt het nodige van alle medewerkers binnen een organisatie. “Dat is zonder meer waar. Zeg maar dat daarvoor een cultuuromslag nodig is, maar die is echt nodig. Ikzelf toon die noodzaak graag aan door managers uit te dagen door ze te laten denken vanuit wat ik ‘inherent risk’ noem.”
Dat vraagt om een nadere uitleg.
“Daarmee vraag ik om in kaart te brengen wat het bruto risico zou zijn. Kijk, elke organisatie heeft op ad hoc basis de nodige controls ingebouwd om risico’s op te vangen. Er zijn budgetten, procedures, verzekeringen. Maar hoe moeten de risico’s beoordeeld worden als die er niet zouden zijn? Het blijkt heel moeilijk te zijn vanuit dat uitgangspunt te redeneren. Toch is dat nodig, al is het alleen om duidelijk te maken dat met de genomen incidentele maatregelen het risico niet tot nihil is gereduceerd. En vaak hebben managers dat niet reële beeld wel, al komt dat niet spontaan ”
René van Beekum ziet in de praktijk dat teveel gekeken wordt naar incidenten die zich kunnen voordoen of hebben voorgedaan. “Beter is het om vanuit strategische risico’s te redeneren en daarbij de hele bedrijfsvoering te betrekken. Wat kan er allemaal gebeuren, welke aansprakelijkheden lopen we. Er zijn ‘tools’ voor nodig om in beeld te brengen welke risico’s nog wel aanvaardbaar zijn en welke niet. Gereedschappen en procedures die voor alle segmenten binnen de organisatie toegepast kunnen worden. Wat heb je aan de goedkeurende verklaring van de accountant als in de balans de derivaten van een woningcorporatie niet zijn meegenomen en de accountant die vervolgens buiten scope plaatst?”