Effectief risicomanagement
Bij artikelen over effectief risicomanagement gaat het vaak over meer risicobewustzijn, cultuur en de ‘tone at the top’. De concepten en gedachten zijn niet verkeerd, maar ik heb ze zelden zien bijdragen aan meer effectief risicomanagement. Te abstract en te hoog over zonder concrete handvatten. Effectief risicomanagement begint met het risico-eigenaarschap. Als duidelijk is wie verantwoordelijk is voor een risico, dient de volgende vraag zich aan: “Hoe beheers ik een risico effectief?” Om een risico effectief te beheersen, moet eerst duidelijk zijn wat het risico is. In de praktijk zie ik allerlei risico’s benoemd, met daarop beheersmaatregelen. Neem als voorbeeld het frauderisico. Als maatregel wordt hier vaak het vier ogen principe genoemd. Maar is dat een effectieve maatregel? De afgelopen maanden zijn er weer diverse fraudes naar voren gekomen zoals bij Stadgenoten en Vestia, ondanks vier ogen principes. Ook CEO fraude en data manipulatie komen regelmatig voor. Hoe kan zo’n frauderisico nou effectiever worden beheerst?
De essentiële denkfout die veel organisaties maken is dat er beheersmaatregelen worden getroffen op een risico. Beheersmaatregelen richten zich echter niet op het risico. Een risico is immers een mogelijke gebeurtenis en die gebeurt wel of niet. Om te beïnvloeden of een risico al dan niet optreedt kan wel iets worden gedaan aan de oorzaken. Om het fraude risico te beheersen is het dus van belang om de verschillende oorzaken van fraude in kaart te brengen en vervolgens maatregelen te treffen om deze oorzaken te beheersen. Het vier ogen principe kan daar één van de maatregelen van zijn.
Een metafoor: Iemand gaat naar de dokter en zegt ik voel me niet zo lekker. Dokter zegt: neem een paracetamol. Paracetamol is hier de beheersmaatregel op een gebeurtenis. Gelukkig past onze medische wereld meer oorzaak analyse toe. Stopt energie in het onderzoeken wat er echt aan de hand is en wat de oorzaak is van het niet goed voelen. Pas als de oorzaak bekend is kunnen effectieve maatregelen worden genomen. Anders is het schijnbeheersing. Hetzelfde geld voor het beperken van schade voor gevolgen.
Om een risico goed te beheersen moet dus niet naar de gebeurtenis zelf worden gekeken, maar naar de oorzaken en de gevolgen. Onderstaande figuur is een illustratie voor het brandrisico dat inzichtelijk is gemaakt volgens de bowtie methode (omdat het op een vlinderdas lijkt). In deze methode staat de gebeurtenis centraal en staan links de oorzaken die tot de gebeurtenis kunnen leiden. Rechts staan de gevolgen die de gebeurtenis met zich mee kan brengen. Om het risico van brand effectief te beheersen moeten dus maatregelen worden getroffen op de oorzaken om de kans op brand te verkleinen. Ook kunnen maatregelen worden getroffen op de gevolgen om de effecten bij optreden van de brand te verkleinen.
Om deze meer uitgebreide benadering toe te passen op alle risico’s is intensief, maar bij de top risico’s (strategisch en tactisch) helpt dit om de juiste keuzes te maken en is de noodzaak om ze beter te beheersen ook het grootst. Maatregelen worden altijd getroffen op oorzaken om kansen te verkleinen of op gevolgen om deze te verkleinen. Zolang we doorgaan met maatregelen benoemen op risico’s zonder de onderliggende oorzaken te onderzoeken en beheersen, hoeven we ons niet te verbazen dat risico’s zich keer op keer toch weer voordoen. Effectieve risicobeheersing begint met een goede analyse van het risico.
Geert Haisma