Kan er overkill zijn bij risicomanagement?

Written by Manu Steens in Risicomanagement 
Kan er overkill zijn bij risicomanagement?
Kan er overkill zijn bij risicomanagement? Eigenlijk is dit een vreemde vraag. Het veronderstelt het bestaan van een ideale inspanning qua risicomanagement, en dat het bijhorend niveau kan overstegen worden. Ik ben niet zeker van het ene noch het andere. Risicomanagement stel ik hier even eenvoudig voor als alle gecoördineerde handelingen om een organisatie te sturen en te handhaven m.b.t. risico’s. Kan er een ideaal niveau van risicomanagement zijn? Kan je het teveel coördineren? Zijn een teveel aan maatregelen mogelijk? Dus: kan er overkill zijn bij risicomanagement?In deze bijdrage geef ik mijn eigen mening, niet die van enige organisatie
Auteur: Manu Steens

Inhoud

Een mogelijk antwoord

Een mogelijk antwoord hierop is: “Bij een teveel aan coördinatie en maatregelen is het geen risicomanagement meer”.

Halverwege de 18e eeuw stelde Samuel Johnson het volgende: “Rules may obviate faults, but can never confer beauties; and prudence keeps life safe, but does not often make it happy.”
(“Regels kunnen fouten voorkomen, maar leveren geen schoonheid, en voorzichtigheid brengt veiligheid in het leven, maar brengt niet vaak geluk.”)
Waar heb jij als Risicomanager van de organisatie het gevoel dat ISO 31000 (de ISO norm voor Risicomanagement) past? Ergens tussen perfectie en schoonheid, tussen veiligheid en geluk?

Wellicht had Generaal Chuck Yeager er een goede kijk op:

“You don’t concentrate on risks. You concentrate on results. No risk is too great to prevent the necessary job from getting done.”

(“Je concentreert niet op risico’s, maar op resultaten. Geen risico is zo groot dat het een job voorkomt die absoluut moet gebeuren.”)

“Never wait for trouble”

(“Wacht nooit op problemen”)

“I was always afraid of dying. Always. It was my fear that made me learn everything I could about my airplane and my emergency equipment, and kept me flying respectful of my machine and always alert in the cockpit.”

(“Ik was altijd bang om te sterven. Altijd. Het was mijn angst dat me motiveerde om alles te leren wat er te leren viel over mijn vliegtuig, mijn nooduitrusting. Het deed me vliegen met respect voor mijn toestel en hield me altijd alert in de cockpit.”)

Sleutelwoorden hierin zijn:

Resultaten ; Noodzakelijk; Problemen; Angst; Nooduitrusting; Respectvol; Alert

Sleutelwoorden

Als ik zelf sleutelwoorden zoek bij risicomanagement via associatief denken kom ik bij de volgende woorden:

Lean; Weerstand (Resilience); Reputatie; Schoonheid; Gezondheid; Kosten-baten; Anticipatie en Onzekerheid; Balans tussen RM (Risicomanagement) en Algemeen management; Risicoaversie; risicoappetijt; vooruitgang; worst case scenario; tijd en middelen; Pareto.

Lean en onzeker

De basis van “Lean” is om eerst een proces effectief draaiende te krijgen, om het nadien efficiënt te maken. Die volgorde is belangrijk. Het probleem hierbij is dat mensen soms denken dat “efficiënt” hetzelfde betekent als “alles omvattend” en dat ze daarmee het proces hopeloos complex maken.

In een wereld die onzeker, onvoorspelbaar en veranderlijk is als de onze, vereist de mogelijkheid van aanpassen, het evolueren, weerstand (resilience). Dit is verzwakt in de cultuur van “Lean” werken. Dit soort denken kan een impact hebben op de korte termijn-indruk van “gezondheid” maar is niet duurzaam. In biologische systemen en business systemen zijn redundantie en evolutieve aanpassing karakteristieken van weerstand en duurzaamheid. Terwijl “Lean”-opgebouwde processen vaak fragiel zijn, en bronnen van risico’s.

Teveel standaarden?

Daarnaast zijn er wellicht teveel verschillende standaarden, die elk vatbaar zijn voor verschillende interpretaties, door welwillende mensen met beperkte middelen. Uiteindelijk moet ieder van hen roeien met de riemen die hij heeft, in de tijd die hij krijgt. Een deel kan geautomatiseerd worden, zoals sommige types van risicoanalyses, maar uiteindelijk zijn er geen shortcuts voor het uitvoeren van het risicomanagement proces. Als daarenboven het begrip “reputatie-risico” de kop op steekt kan het moeilijk worden. Reputatie is immers drievormig: 1) reputatie die je krijgt door hard te werken, 2) reputatie die je krijgt door de sociale status van je functie, 3) reputatie die je krijgt vanwege je afstamming. Maar daar gaan we hier nu niet op in.

Standaarden brengen ook schoonheid mee. Schoonheid komt van binnenuit en het conventionele risicomanagement of het letterlijk implementeren van een standaard creëert vaak valse schone schijn. Het blijkt vaak make-up te zijn op die manier. Om schoonheid (zowel voor business systemen als voor biologische systemen) te bewaren is een zekere mate van gezondheid nodig, en daar moet de echte focus liggen. Maar, net als bij de oorzaken van risico, ligt dit een niveau dieper dan de scope van conventioneel risicomanagement of algemeen management. Hoewel beide dienen voor het behandelen van symptomen, zonder een begrijpen van een verband tussen oorzaak en gevolg, zullen onverwachte neveneffecten optreden, en worden risicomanagement en algemeen management een bron van risico’s.

Gezondheid als analogie

Eigenlijk is gezondheid een goede analogie. Sommige gezondheidsaandoeningen zijn behandelbaar. Maar bij andere kunnen de neveneffecten erger zijn dan de ziekte. In dergelijke omstandigheden kan het beter zijn de symptomen te bestrijden i.p.v. de ziekte. Het is belangrijk om naar de gezondheid van de organisatie te kijken en deze manier van werken geldig te maken in het compliant werken met normen.

Elke managementsvorm moet resulteren in een vorm van opbrengst. Indien er geen waarde creatie is moet je nadenken waarom je het doet. Het antwoord voor risicomanagement is te vinden via economische begrippen als NPV (net present value), ROSI (return on security investment), e.a.. Daarmee kan het paretoprincipe naar boven komen. Een van de redenen waarom de risicomanager dus een assessment van hun manier van werken moet doen is om er voor te zorgen dat ze geen overdaad plegen. Met die begrippen kunnen ze dan ook gemotiveerd aangeven aan het bestuur waar de grenzen liggen van hoe ver ze willen gaan met hun maatregelen, tenzij het bestuur het anders wenst. Daarmee is het dus een kwestie van kosten en baten. Het is dus geen kwestie van de risico’s volledig te elimineren, eerder van maatregelen te nemen om de risico’s uit de gevarenzone te halen en te brengen tot een aanvaardbaar niveau.

Anticipatie, gezondheid en balans

Anticipatie en onzekerheid zijn des mensen. We kijken naar het nieuws om zekerheid te krijgen, en dan zeggen we “ik heb het gezegd”. Onbewust passen we dit toe op het kijken naar een spel voetbal, wanneer de Rode Duivels in Brazilië spelen etc. In business kunnen we in de val trappen van overdadige zelfzekerheid, dat op zichzelf een bron van risico’s is. Soms halen zelfs ministers de geschiedenis er bij door te zeggen “we zullen zien wie gelijk krijgt van de geschiedenis”. Maar eigenlijk is de tijd bedoeld om een kans te geven aan de onzekerheid: “only time will tell”.

Belangrijker dan in het wilde weg te spelen met anticipatie en onzekerheid is een gezonde balans tussen risico management en algemeen management. Ik denk dat het mogelijk is om hier een oordeel te vellen of er een overhellen is naar de ene of de andere kant, en dat is onproductief. Er moet een gezonde balans zijn tussen risico-aversie en risico-acceptatie (of risico-appetijt). Risico kan men vanuit het idee van een balans zelden volledig elimineren. Er is dus een compromis nodig tussen preventieve maatregelen enerzijds en anderzijds kost en tijd. Want als er sprake is van complete risico-aversie, en men daar gevolg aan geeft, dan neemt men geen risico’s meer. Elke innovatieveling weet echter dat de vernieuwing en vooruitgang dan stagneert. Risico nemen is dus de job van elke manager. Het falen om te durven falen kan de doodsteek zijn voor elke organisatie.

Risico appetijt

Elke organisatie heeft dus een zekere risico-appetijt nodig. Eens het goede niveau van risiconemen bereikt is, kan men deze risicoappetijt naar beneden bijstellen of naar boven. De limiterende waarde is daarin dat de kost van de risico-maatregelen of het niet nemen daarvan steeds minder is dan de verwachtte of feitelijke opbrengst.

Dit betekent niet dat men zomaar moet gaan besparen op preventie en bescherming. Ook daar kan het kosten-baten principe gevolgd worden, en indien men dan ook daar zorgt voor een goed evenwicht, kan risicomanagement zeer “empowering” werken. Een gezonde medewerker op een aangename werkvloer is immers altijd een zegen voor de entiteit. Wat hierbij belangrijk is, is de manier waarop je verzekert dat je aanvaardbare, berekende, risico’s neemt om vooruit te kunnen blijven gaan. Indien risicomanagement en RA geen deel uitmaken van het nemen van risico’s, dan ben je een dobbelaar, een gokker en geen strategische leidinggevende. De stakeholders respecteren de laatste, en laten de eerste doorgaans vallen. Het doel van risicomanagement is immers ook om te helpen middelen toe te wijzen, als ondersteuning van het algemeen management.

Een belangrijk signaal van overkill van risicomanagement

Een belangrijk signaal van overkill van risicomanagement is dat men probeert te plannen voor elke eventualiteit. Een goede controle en balans om te beslissen hoe ver men moet gaan is dat men plant voor een “worst case scenario” dat “redelijk” is. M.a.w. plan daarvoor voor wat op een redelijke manier kan gezien worden als een gebeurtenis met de ernstigste impact, en ga van daaruit vooruit. Meer plannen zou aanleiding geven tot tegenwerking van iedereen met een gezond boeren verstand, omdat zij zullen argumenteren waarom het niet te verrechtvaardigen valt.

Conclusie

De vraag was “kan er in risico management overkill gepleegd worden?” Ik geloof steevast:

  • Ja dat kan
  • Maar het gebeurt zelden
  • Er wordt immers zeer snel geroepen “We kunnen niet voor alles plannen” en “We hebben niet de tijd noch middelen om voor alles te plannen”.

Ik zou verder zeggen, neen we kunnen niet alles voorspellen, en we hebben dat ook niet nodig. We moeten werken naar een redelijke worst case en we moeten het subsidiariteitsprincipe van toepassing maken op RM. Op alle niveaus van de entiteiten moeten we een aangepaste hoeveelheid training geven, oefenen, de juiste tools plaatsen, maar ook onszelf benchmarken tegen de geëigende relevante standaarden, zodat we klaar zijn voor het gros van de mogelijke omstandigheden die op ons af komen. Onthoud dat daarin het pareto principe van toepassing zal zijn: 20% van de maatregelen zullen 80% van de problemen tegenhouden of onderscheppen. Betrek alle belanghebbenden in het RM. Onthoud dat een crisis een andere crisis kan uitlokken, en onthoud dat er ook steeds ongekende factoren kunnen meespelen, waarvoor je niet kan plannen.

Manu Steens

Manu werkt bij de Vlaamse Overheid in risicomanagement en Business Continuity Management. Op deze website deelt hij zijn eigen mening over deze en aanverwante vakgebieden.

Leave a Reply

Your email address will not be published. Required fields are marked *

Recent Posts