Waarom verdiepen publieke managers en adviseurs zich in risicomanagement? Onder andere om te stoppen met een ‘rituele risicodans’. Ofwel, om hedendaags risicomanagement bloedserieus te gaan nemen, in de hele organisatie. Alleen, hoe doe je dat?
Onlangs startte een nieuwe lichting ervaren managers en adviseurs met de masterclass Risicomanagement in de Publieke sector van de Universiteit Twente. Op mijn vraag waarom ze uit de beschikbare masterclasses juist voor dit onderwerp hebben gekozen gaven enkele deelnemers hetzelfde, verrassende antwoord. Niet om iets te gaan dóen, maar juist om met iets te stoppen. Namelijk met het type risicomanagement de ‘het rituele dansje’ werd genoemd.
Want wat is het geval volgens deze deelnemers? Een paar keer per jaar staat in hun organisatie, variërend van een provincie tot een uitvoeringsorganisatie, risicomanagement op de agenda. Alleen niet zozeer omdat de publieke managers en bestuurders dat nou zo graag willen – die agenda’s zijn immers als overvol - maar vooral omdat het moet. Bijvoorbeeld vanuit een interne Nota Risicomanagement, vanwege het Besluit begroting en verantwoording provincies en gemeenten, of op verzoek van een audit commissie.
Het is een risicomanagementritueel zonder concrete inhoud. Kort van tevoren wordt via een ronde door de organisatie het risicodossier gevuld of geactualiseerd. Mijn ervaring is dat daar nogal eens de nodige ‘open deurrisico’s’ op staan. Dit zijn vage, heel algemeen geformuleerde risico’s met dito maatregelen, waarmee niemand het mee oneens zal zijn. Risico’s als ‘de kans op reputatieschade’ en maatregelen als ‘meer in gesprek gaan’, waar dus niet scherp op kan worden gestuurd. Waarbij risico’s ook nogal eens worden verward met bestaande problemen, die dan de oorzaak zijn van onbenoemde risico’s. Kortom, een risicoritueel omdat het moet, niet omdat de betrokkenen het graag willen. En al helemaal niet met concrete meerwaarde voor diezelfde betrokkenen of de stakeholders van de organisatie.
Wat maakt dat het tijd wordt dat deze rituele risicodans gaat stoppen? Om risicomanagement met een hedendaagse benadering juist bloedserieus te gaan nemen? Niet enkele keren per jaar, maar vrijwel dagelijks, door vrijwel iedereen in de organisatie? Dé reden hiervoor is een combinatie van maatschappelijke opgaven en context waar vrijwel elke publieke of semipublieke organisatie voor staat. De opgaven zijn veelal groots. Neem alleen al de energietransitie. De organisatorische context is uitermate complex, met een wirwar aan wisselende stakeholders, veranderende belangen en financiële beperkingen. Die combinatie van context en opgaven maakt publieke medewerkers en leidinggevenden dagelijks moeten zien om te gaan met vele onzekerheden. Waarbij die onzekerheden zowel negatieve als positieve effecten op doelen kunnen hebben. Ofwel zich als risico of als kans kunnen manifesteren.
Wat is dat hedendaagse risicomanagement en hoe kan de hele organisatie dat bloedserieus gaan nemen? Wat betreft de hedendaagse aanpak risicomanagement, dat vraagt in een complexe context juist om eenvoud. Er bestaan in Nederland en daarbuiten talloze richtlijnen en modellen voor risicomanagement. Het interessante is dat ze allemaal zijn samen te vatten tot drie eenvoudige DOD-vragen: (1) wat is het Doel, (2) wat is daarbij Onzeker en (3) wat daar al dan niet aan te Doen.
Zie de doelen in de meeste brede betekenis van het woord. Die variëren uiteraard. Bijvoorbeeld van de kernwaarden van een landelijke uitvoeringsorganisatie tot de randvoorwaarden van een te renoveren rotonde in een gemeente. Onzekerheden op weg naar de doelen kunnen een negatief effect hebben; dit zijn de bekende risico’s. Soms bieden onzekerheden ook kansen of mogelijkheden die de doelen juist dichterbij brengen. Het al dan niet doen betreft het al dan niet nemen van maatregelen om de risico’s te beperken of de kansen juist te benutten. Ik noem nadrukkelijk de optie van niet-doen, om weerstand te bieden aan de bekende risicoregelreflex: we signaleren een risico, dus we móeten wat doen. Sommige risico’s zijn ook gewoon te accepteren.
Hoe dit hedendaagse risicomanagement uiterst serieus gaan nemen, door vrijwel iedereen in de organisatie? Door er vooral zélf mee te beginnen en daarmee door te gaan. Dus door zelf in al die verschillende overleggen en rapporten steeds weer die drie DOD-vragen te stellen, aan jezelf en aan de mensen met wie je in gesprek bent of aan wie je rapporteert: wat is het Doel, wat is daarbij Onzeker en wat daaraan al dan niet te Doen? Door zo iedereen om je heen te inspireren om dat ook te doen.
Trouwens, op mijn vraag waarom de deelnemers aan de masterclasses publiek risicomanagement juist hiervoor kozen kwamen ook andere antwoorden. Die zijn samen te vatten als bewuster, doelgerichter en meer integraal met risico’s leren omgaan. Ook bleek er behoefte aan meer aandacht voor een expliciete risicodialoog in reguliere overleggen. Dit in plaats van een ‘twee keer per jaar’ ritueel met risicolijstjes. Inmiddels heb ik, samen met vele anderen, in workshops en webinars kunnen ervaren dat het aangaan van de risicodialoog met de drie DOD-vragen werkt. Het blijkt een eenvoudige stap richting verantwoord omgaan met risico’s én kansen in een complexe, onzekere publieke wereld. Het blijkt een waardevolle stap van ritueel naar routine.