Over ineffectief risicomanagement gesproken
Recent heeft het Institute of Internal Auditors hun 3 Lines of Defence Model aangepast. Niet alleen is in de naam het woord ‘Defence’ verdwenen, maar ook de positie van risicomanagement is explicieter geworden. Vooral voor de eerste lijn is het nu heel duidelijk: zij zijn verantwoordelijk voor de identificatie van risico’s en het beheersen ervan. De tweede lijn heeft een ondersteunende en adviserende rol in complexe situaties. Een mooie aanleiding om nog eens stil te staan bij effectief risicomanagement. Vanuit de praktijk zijn er een drie rode draden die iedere keer weer naar voren komen wanneer risicomanagement niet effectief blijkt te zijn en dat is het geval bij “zwevende risico’s”, geen risico-eigenaarschap en geen aanspreekcultuur.
Van zwevende risico’s is sprake als een organisatie met lijsten risico’s werkt die nergens aan zijn gekoppeld. Als risico’s niet vanuit een context worden geïdentificeerd voelen ze vaak als niet relevant en doet niemand er iets mee. Dit leidt tot negatieve energie omdat deze aanpak ervoor zorgt dat de organisatie een negatief en bureaucratisch beeld krijgt van risicomanagement.
In veel organisaties bestaat discussie wie verantwoordelijk is voor welke risico’s. Als risico’s worden gekoppeld aan doelen en processen/projecten is echter meteen ook duidelijk wie verantwoordelijk is voor welk risico. Het zijn dezelfde personen als de doel en proces/project eigenaren. Een bovenliggende complicatie ligt vaak in het feit dat niet altijd duidelijk is wie verantwoordelijk is voor welk doel of welk proces, zeker als een keten door afdelingsgrenzen heen loopt. Als dit het geval is, is er aanvullend sprake van een besturingsrisico, waardoor de organisatie niet zo efficiënt of effectief werkt als zou kunnen. Dit risico ligt altijd op het bordje van de bestuurder en is typisch iets dat door de derde lijn in een audit kan worden gesignaleerd.
In veel organisaties, zeker in de publieke sector, vult de tweede lijn risico’s in die eigenlijk door de eerste lijn zouden moeten worden geïdentificeerd en beheerst. Als de eerste lijn haar verantwoordelijkheid niet pakt en er ook niet op wordt aangesproken, is er feitelijk geen sprake van effectief risicomanagement. Vanuit de gedachte van succesmanagement is een eerstelijns manager verantwoordelijk voor twee dingen: zorgen dat zijn processen soepel lopen (+ effect) en zorgen dat ongewenste gebeurtenissen de output of resultaat niet verstoren (- effect).
Het nieuwe 3 Lines Model helpt om de effectiviteit van risicomanagement te vergroten door explicieter te wijzen op de eerstelijns verantwoordelijkheid. Maar veel eerstelijns managers zijn helemaal niet gecharmeerd van risicomanagement op basis van ervaringen die voortkomen uit de hierboven genoemde drie punten. Slechte ervaringen en gebrek aan kennis zullen een effectieve werking van risicomanagement in de weg staan.
Geert Haisma