U schrijft in de leeswijzer van uw boek dat het eerste hoofdstuk helpt om mensen te overtuigen van het nut en de noodzaak van risicogestuurd werken. Kunt u iets zeggen over dat nut en de noodzaak?
Laat ik beginnen met de noodzaak. Vrijwel elke organisatie heeft momenteel te maken met onzekerheden en bijbehorende risico’s. Het gaat dan bijvoorbeeld om veranderende marktomstandigheden, effecten van nieuwe technologie, aangepaste wet- en regelgeving of onverwachte eisen van consumenten. Het domweg negeren van die risico’s is geen optie meer. Vrijwel dagelijks lees je in de media over de gevolgen daarvan. Alle risico’s proberen te vermijden lukt in de meeste gevallen ook niet. Dan blijft er een derde weg over, en dat is zo goed mogelijk omgaan met risico’s, om desondanks als organisatie toch je doelen te kunnen realiseren. Het nut van risicogestuurd werken is dat het enerzijds helpt om de realiteit van risico’s onder ogen te zien, en anderzijds structuur brengt in het omgaan met risico’s. En dat niet als weer iets nieuws, náást de dagelijkse werkprocessen, maar juist ingebed in de dagelijkse praktijk.
Het zijn niet alleen de veranderende omstandigheden die meer risicobewustzijn vragen maar ook de veranderreflex van organisaties daarop, in combinatie met een mede daardoor toenemende werkdruk, zo schrijft u. Een perfecte storm zogezegd.
Dat klopt, een perfecte storm die nog geen indicatie geeft snel te gaan liggen. Politicologe Margot Trappenburg heeft enkele jaren geleden de term ‘risicoregelreflex’ gemunt die nog steeds actueel blijkt. Veel organisaties reageren met meer protocollen en regels op de toenemende onzekerheid die ze ervaren. Dat leidt tot steeds meer administratie en bureaucratie, maar dat kost tijd die niet aan het zogenoemde primaire werkproces kan worden besteed. Hier horen we niet alleen docenten en huisartsen in toenemende mate over klagen maar ook technici in bijvoorbeeld de industrie. Overigens is ook het gebruikelijke instrumentele risicomanagement nogal eens het resultaat van de veranderreflex, bijvoorbeeld als er iets goed is misgegaan in een organisatie. Het wordt dan vooral een verantwoordingsinstrument, in plaats van een aanpak om gericht mee te sturen onder onzekerheid. Dat is dus geen risicogestuurd werken.
Wat is risicogestuurd werken dan wel?
Risicogestuurd werken start met het lef om onzekerheid en risico’s te willen zien. Daaraan ontbreekt het nogal eens. Zo had ik onlangs een evaluatiegesprek met een ervaren projectleider. Hij had met een aantal teams enkele risicosessies gedaan. Daarin kwam een aantal steeds terugkerende risico’s naar voren. De projectleider kon ze niet oplossen en de verantwoordelijke lijnmanager wilde ze niet oplossen. De projectleider kreeg ze keihard retour. Op organisatieniveau ontbrak het aan risicobewustzijn én het besef dat op de iets langere termijn winst is te behalen door die risico’s eens écht structureel aan te pakken. Het handen en voeten geven aan risicobewustzijn start daarom met voorbeeldgedrag. Bijvoorbeeld door als leidinggevende risico’s te delen met het team, er zelf voor uit durven komen dat ze soms lastige dilemma’s opleveren, en desondanks scherpe keuzes te willen maken. Het is vooral een kwestie van mindset. Daarnaast geef ik zes algemene risicoprocesstappen die structuur en daarmee houvast geven. Die stappen zijn niet nieuw, ze zijn het op essentie gefilterde resultaat van alle in Nederland gebruikelijke methoden van risicomanagement.
Wat zijn die zes risicoprocesstappen?
De eerste stap bestaat uit het scherp krijgen van de doelen. Dit kunnen allerlei soorten doelen zijn, van organisatiebrede doelen tot persoonlijke werkdoelen, afhankelijk van op welk niveau in de organisatie en door wie de risicoprocesstappen worden uitgevoerd. Deze eerste processtap is logisch vanuit de moderne risicodefinitie die afkomstig is uit de ISO 31000 richtlijn voor risicomanagement: risico is het effect van onzekerheid op doelen. Zonder doelen dus geen risico, of juist een enorm risico… omdat je doelloos ronddoolt als organisatie. De tweede en derde risicoprocesstap zijn het identificeren en classificeren van risico’s: wát zijn de risico’s, gegeven de doelen, en zijn ze groot of klein? Op basis hiervan is de vierde stap de keuze om al dan niet iets aan het risico te doen. Dit kan zijn het verkleinen of wegnemen van de kans van optreden of gevolgen van het risico. Het kan ook heel goed het accepteren van het risico zijn. Of het risico volgen, om te kijken of het in de tijd groter of juist kleiner wordt. De vijfde stap is belangrijk en wordt nogal eens overgeslagen. Dit is het evalueren van de voorgaande stap. Zijn de genomen maatregelen effectief en waar blijkt dat uit? Wegen de kosten op tegen de baten? Wat kun je hier als organisatie van leren? Tot slot de zesde en laatste stap: de risicorapportage en de overdracht ervan naar bijvoorbeeld de volgende projectfase of het volgende kwartaal. Slimme organisaties maken van deze zes stappen een cyclus die bijvoorbeeld aansluit bij de planning & control cyclus van de organisatie of afdeling. Want omstandigheden veranderen, en daarmee ook risico’s. Denk bijvoorbeeld aan de publieke opinie, die een ogenschijnlijk klein risico tot enorme proporties kan laten escaleren. Voor managers en professionals met al wat risicomanagementervaring zijn deze algemene stappen niet nieuw. De twintig accentverschillen die ik in mijn boek uitwerk, zijn dat wel. Die maken namelijk het verschil tussen het vaak instrumentele en bureaucratische risicomanagement en vernieuwend risicogestuurd werken, waarbij juist de mens in de organisatie centraal staat.
Waarom is het belangrijk dat de mens centraler komt te staan rond het onderwerp risico's?
Omdat risico’s veel subjectiever zijn dan vaak wordt aangenomen. Ik krijg nogal eens de vraag om te helpen bij ‘een objectieve risicoanalyse’. Een manager wil dan bijvoorbeeld een lijst met zogenaamde ‘objectieve risico’s’ hebben. Maar van veel risico’s zijn helemaal geen objectieve feiten bekend. De kans erop wordt geschat op basis van kennis en ervaring, evenals de mogelijke gevolgen van het risico. Hierbij speelt het begrip risicoperceptie een cruciale rol. Dit is de unieke wijze waarop een persoon een risico ziet. Vaak zie je dat verschillende personen op basis van dezelfde informatie tot verschillende inschattingen van risico’s komen. Met het centraal stellen van de mens rond het onderwerp risico’s beoog ik dat van-mens-tot-mens gesprekken worden gevoerd over de risico’s waar een organisatie tegenaan loopt, met ruimte voor verschillen in risicoperceptie. Op basis van de doelen en strategie van de organisatie kan vervolgens worden besloten wat met die risico’s te doen. Dit kan overigens prima plaatsvinden in de al bestaande overleggen in organisaties.
Kunt u een paar voorbeelden geven van de nieuwe accentverschillen, en uitleggen hoe die helpen de mens in de organisatie centraal te stellen?
Jazeker. Eén van die accentverschillen is de beweging van onteigenen richting eigenaarschap. Met onteigenen bedoel ik dat er een afdeling risicomanagement is waar de risicomanagers en risicoanalisten zitten. Dit geeft het signaal dat ánderen zich om mijn risico’s bekommeren. Risicogestuurd werken betekent risico-eigenaarschap formeel neerleggen bij die personen, die ook verantwoordelijk zijn voor de doelen waarop de risico’s betrekking hebben. Een ander voorbeeld is de verandering van low trust - high tolerance richting high trust – low tolerance. Het eerste betekent weinig vertrouwen – en dus veel protocollen en controles – en een hoge mate van tolerantie als er toch niet volgens de protocollen is gewerkt. Denk hierbij aan de chemische industrie, met voorbeelden als Chemie-Pack en Odfjell. Risicogestuurd werken heeft vertrouwen tussen mensen als uitgangspunt, met wel een uiterst lage tolerantiedrempel als dat vertrouwen wordt beschaamd. Dit betekent onder andere elkaar durven aanspreken en dat gaat indien nodig tegen de hiërarchie in. Consequent handelen vanuit high trust – low tolerance leidt al na één controle tot het tijdelijk sluiten van een afdeling of bedrijf dat systematisch de regels overschrijdt die er daadwerkelijk toe doen. Bijvoorbeeld regels wat veiligheid voor medewerkers en omgeving betreft. Risicogestuurd werken hanteert daarom liever minder risicobeheersmaatregelen met serieuze consequenties, dan veel maatregelen die de schijn van beheersing oproepen. Bij deze voorbeelden, en ook bij de overige accentverschillen, spelen houding en gedrag van mensen van vlees en bloed de hoofdrol. Dit in tegenstelling tot het gebruikelijke instrumentele risicomanagement waarbij het vaak vooral over het volgen van de bijbehorende procedures en protocollen gaat, met het zetten van de bijbehorende vinkjes en parafen. Zoals de Britse risicomanagementexpert David Hillson het pakkend formuleert: ‘A fool with a tool is still a fool.’ Risicogestuurd werken betekent dus vooral de ‘fool’ risicovolwassener maken, waarbij methoden en tools ondersteunend zijn.
Tot slot, welke branche/organisatie zou volgens u vandaag nog risicogestuurd moeten gaan werken?
Oei, nu loop ik een risico te gaan blamen en shamen vanaf de zijlijn, en dat is nadrukkelijk niet mijn bedoeling. Maar goed… Ik merk bijvoorbeeld dat er in de verzekeringswereld veel behoefte aan is. Intermediairs mogen immers niet meer op provisiebasis werken en zijn naarstig op zoek naar een ander verdienmodel. Gezien de gaswinningsproblematiek in de provincie Groningen is er voor de betrokken overheden, bedrijven en inwoners ook nog wel wat te winnen. Ten slotte lopen we in de zorg aan tegen allerlei grenzen vanwege de vergrijzing de steeds hogere verwachtingen van patiënten, en de toenemende mogelijkheden van de medische wetenschap. Om daarin een maatschappelijk acceptabele balans te vinden kan risicosturing eveneens helpen. Om een lang verhaal kort te maken, eigenlijk denk ik dat elke branche of organisatie met onzekerheden, veranderingen en een overkill aan protocollen baat heeft bij risicogestuurd werken.
Over Justin van Lopik
Justin van Lopik is werkzaam bij Managementboek en hoofdredacteur van Managementboek Magazine, platform voor business professionals.