‘Inmiddels op zeven afmeldingen. […] Uit ontvangen reacties heb ik al meegekregen dat risicomanagement het afgelopen half jaar door andere prioriteiten niet hoog op de agenda heeft gestaan.’ Dit mailtje van een business controller uit de publieke sector verscheen op m’n beeldscherm, twee uur voor de start van een intervisie. Een half jaar daarvoor had een diverse groep van twintig personen drie dagen opleiding over risicomanagement gevolgd. Desondanks was dat risicomanagement er nog niet echt van gekomen. ‘Maar misschien is dat ook helemaal niet nodig’, bedacht ik me.
Met risicomanagement sta je meteen met 3-0 achter
Noem het woord risicomanagement en je staat meteen met 3-0 achter. Althans, als je dit woord laat vallen buiten de afdeling Planning en Control in een publieke organisatie. Binnen zo’n afdeling wordt vaak gedreven gewerkt aan het inventariseren, classificeren, beheersen van risico’s. Dit alles wordt gerapporteerd in risicodossiers, kleurrijke heatmaps of ‘kans x gevolg’ figuren en top 10 risicolijsten. Echter, velen buiten die afdeling die daar verplicht aan moeten meewerken beschouwen dergelijk risicomanagement nogal eens als ‘corvee’, ‘papieren tijger’ of ‘feestje van de controller’.
Met enige regelmaat wordt dan ‘in de lijn’ een ‘risicosessie’ georganiseerd, waarin tientallen risico’s worden opgesomd. Het daaruit ontstane risicodossier komt periodiek op de agenda van het management team, vaak als een van de laatste agendapunten. Als er al aan toe wordt gekomen, dan worden enkele risico’s ‘geactualiseerd’. Vervolgens verdwijnen ze weer in de al dan niet digitale bureaula. Een wat overdreven negatieve karikatuur van risicomanagement? In elk geval niet vanuit mijn ervaring, in nogal wat publieke organisaties.
Geen tijd voor risicomanagement: logisch én onbegrijpelijk
Met het geschetste beeld van het gangbare risicomanagement is het eigenlijk logisch dat drukbezette managers en professionals in de publieke sector er het liefst helemaal geen tijd voor willen vrijmaken. Een papieren tijger heeft immers geen directe meerwaarde voor ze. Het tijdrovende risicomanagement wordt opgelegd, het moet vanwege verantwoording of compliance. Het draagt niet bij aan het realiseren van hun doelen. Althans, dat denken ze.
Tegelijkertijd is het namelijk onbegrijpelijk dat drukbezette managers en professionals géén tijd vrijmaken voor het tijdig en expliciet omgaan met risico’s. Want waarschijnlijk zijn ze juist daarom zo druk met het steeds weer moeten blussen van acute, deels voorzienbare en vermijdbare brandjes. Ofwel, acute en ongewenste situaties, die onder andere zijn ontstaan door, jawel, opgetreden risico’s. Met als gevolg onnodige verspilling van publieke middelen. Juist door niét tijdig en expliciet aandacht te geven aan die risico’s blijf je zo ronddraaien in het risico-rad van continu gedoe.
Wel tijd voor risicogestuurd werken: stel jezelf en de ander drie vragen
Het is daarom hoogste tijd om het gangbare risicomanagement eens om te draaien, op z’n kop te zetten. De ‘m’ van management wordt dan de ‘w’ van werken. Dit betekent dat het tijdig en expliciet omgaan met risico’s een vanzelfsprekend onderdeel wordt van het dagelijkse werk. Want zeg nou zelf, wie werkt er tegenwoordig nog aan publieke vraagstukken waarbij géén onzekerheden spelen? Onzekerheden die zich negatief kunnen voordoen als risico, of juist positief als kans?
Wat helpt bij dit risicogestuurde werken is het steeds weer stellen van drie vragen, aan jezelf en aan de ander. Dit zijn drie makkelijk te onthouden vragen, waarin het gebruikelijke risicomanagement is samengevat. Ik noem ze de DOD-vragen, want het gaat om Doelen, Onzekerheden en Doen:
- Vraag 1: Wat is het Doel? Zie doelen hierbij breed, in de betekenis van wat wil jij, je team, je organisatie, de burger, de bestuurder? Enkele voorbeelden: wat is de bedoeling van nieuw lokaal beleid, wat zijn de afdelingsdoelen voor het komende jaar, wat zijn de doelen van het innovatie-team? En ook wat zijn de duurzaamheidsdoelen van bijvoorbeeld de facilitaire dienst? Samengevat, wat is het concrete resultaat waar je samen naar streeft? Allemaal voorbeelden van doelen.
- Vraag 2: Wat is daarbij Onzeker? Ofwel, welke onzekerheden kom je tegen bij de activiteiten of processen die leiden naar de doelen uit vraag 1. Onzekerheden met een negatieve invloed op het doel kunnen we beschouwen als risico’s. Maar vergeet vooral niet dat onzekerheden ook een positieve invloed op doelen kunnen hebben. Dit zijn veelbelovende kansen, mogelijkheden, opportunities.
- Vraag 3: Wat met wie te Doen? Welke concrete maatregelen kun je met wie redelijkerwijs nemen om de risico’s te verkleinen, of om de kansen te vergroten? Denk hierbij aan preventieve maatregelen, die de waarschijnlijkheid van een risico verkleinen. Denk daarnaast aan maatregelen die de gevolgen beperken áls het risico zich voordoet. En vergeet dat bewust niets doen, het gewoon accepteren van een risico, ook een waardevolle keuze kan zijn. Want waarom zou je élk risico tegen elke prijs moeten willen beheersen?
Risicoleiderschap tonen: iedereen die het wil, die kan het
Een aantal jaar geleden begon ik me steeds meer te verwonderen: waarom hebben we het altijd over risicomanagers en vrijwel nooit over risicoleiders? Onderzoek toonde aan dat risicoleiderschap een vrijwel ontgonnen begrip was. Voor mij een reden om risicoleiderschap te beschrijven als het doelgericht durven omgaan met risico’s (én kansen). Om zo de waarschijnlijkheid dat de doelen worden gehaald zo groot mogelijk te maken. Dit ondanks alle dynamiek en complexiteit waar we in ons werk vrijwel dagelijks mee te maken hebben.
De essentie van het tonen van risicoleiderschap is het steeds weer durven stellen van de drie DOD-vragen, aan jezelf en aan iedereen om je heen. Wie dit wil, die kan dit. Stel deze soms ongemakkelijke vragen in de bestaande overleggen. Leg de antwoorden zo nodig beknopt en scherp geformuleerd vast in de bestaande rapportages. Dit is risicogestuurd werken, door het tonen van je persoonlijke risicoleiderschap. De deelnemers aan de intervisie hebben het diezelfde middag nog bevestigd: je hoeft helemaal niet aan risicomanagement te doen om risicoleiderschap te tonen.
Dr. Martin van Staveren doceert, adviseert en schrijft over omgaan risico’s binnen organisaties. Hij is onder andere kerndocent risicomanagement, Universiteit Twente en doceert in diverse collegereeksen van Nyenrode Business Universiteit. Hij is auteur van de boeken Risicogestuurd werken (2015), Risicoleiderschap (2018) en Iedereen Risicoleider: Waardevolle doelen realiseren én behouden in een onzekere wereld (2020).