Risicomanagement Principes

Risicomanagement is vaak een onbegrepen verhaal. Heel wat leidinggevenden en managers denken dat het iets is dat losstaat van hun dagelijkse activiteiten, dat het iets is waar ze niet zoveel van af weten en dat het eigenlijk specialistenwerk is. Risicomanagers, die managen het risico denken ze misschien, en dan is het logisch dat je daar zelf niet veel aan moet doen. Je gaat toch niet andermans werkzaamheden overnemen?

Maar niets is minder waar. Risicomanagers managen vooral hun eigen werkzaamheden: het beoordelen van allerhande risico’s, waar ze dan mooie matrixen voor opstellen en netjes ordenen in risicoregisters. Wanneer het past, schrijven ze er dan ook afgelikte rapporten over, zodat men kan laten zien hoe goed men wel niet alle risico’s in kaart heeft gebracht. Managers moeten ze dan maar lezen en naar goeddunken gebruiken. Het gebeurt dan wel eens dat zulke rapporten "inconvenient truths" bevatten en dat ze terzijde worden geschoven bij het nemen van belangrijke beslissingen, die achteraf misschien niet de beste blijken te zijn.

Dat is dan mogelijk het geval in organisaties die met risicomanagers werken. Bij KMO’s/MKB’s is het vaak anders. Daar heb je de eigenaar-ondernemer die vaak de intuïtieve risicomanager is en die op gevoel de juiste beslissingen neemt. Zolang de "span of control" niet te groot is en de belangrijke beslissingen door de baas genomen worden, gaat dit meestal goed en groeit het bedrijf. Risico’s worden onderkend en aangepakt vanuit een goed ontwikkeld buikgevoel.

Het nadeel? Moeilijker delegeren. Zolang medewerkers binnen hun expertise blijven, valt dat nog mee. Maar wat als er belangrijke beslissingen moeten worden genomen buiten hun kennisgebied, en de baas is er niet? Hoe goed verloopt het dan?

Voor die momenten zijn de richtlijnen van ISO 31000 echt handig. Als je onzeker bent over iets waar je over moet beslissen, dan kun je een beproefd recept gebruiken: het risicomanagementproces van ISO 31000. Het is een "best practice" om risico veilig te kunnen nemen. Het doel van risicomanagement volgens ISO 31000 is het creëren en beschermen van waarde. En als je het breed beschouwt, is elke beslissing een manier om ergens een vorm van waarde te creëren of te beschermen, of misschien wel allebei tegelijk.

ISO heeft daarbij een aantal principes geformuleerd die je best naleeft als je wilt dat je risicomanagement tot succes leidt. Helaas wordt tegen deze principes wel eens gezondigd. Vooral door die managers en beslissingsnemers die denken dat risicomanagement een vak apart is en niet gewoon een onderdeel van de dagelijkse verantwoordelijkheden van wie beslissingen neemt in een team, bedrijf of organisatie.

Een eerste en heel belangrijk principe is dat risicomanagement geïntegreerd moet zijn. Het moet een onderdeel zijn van alle activiteiten en vooral deel uitmaken van de manier waarop beslissingen genomen worden. Als dit in jouw team, bedrijf of organisatie niet het geval is, dan heb je zeker nog ruimte om vooruitgang te maken in je management.

Een tweede principe zegt dat integreren uiteraard goed is, maar om daar het maximum uit te halen moet je volledig omvattend en gestructureerd zijn. Je hebt dus een kapstok nodig waaraan je risicomanagement kunt ophangen: een structuur die mensen helderheid verschaft over de te volgen weg, die vanzelf leidt tot betere beslissingen, maar die het geheel niet uit het oog verliest. Zonder structuur kun je gemakkelijk je weg verliezen in complexere zaken. En als je het geheel niet aanschouwt, dan krijg je mogelijk hiaten in je structuur en beslissingen, wat kan leiden tot symptoombestrijding, suboptimale resultaten of zelfs catastrofes.

Risicomanagement is zeker geen "one size fits all". Integendeel: om het beste uit je risicomanagementinspanningen te halen, moet je jouw aanpak helemaal afstemmen op wat je team, bedrijf of organisatie nodig heeft en aankan. Risicomanagement is dus een maatpak voor jouw onderneming. Copy-paste of "prêt-à-porter" levert nooit hetzelfde resultaat op. Indien je nog geen op maat gemaakte aanpak hebt, is er dus nog veel ruimte voor verbetering!

Zo'n maatwerkbenadering moet wel inclusief zijn. Dat wil zeggen dat je rekening houdt met anderen, met je relevante stakeholders. De overheid is daar één van, met wetgeving en regels waaraan je moet voldoen. Maar evenzeer zijn je medewerkers, klanten of leveranciers belangrijke bronnen van informatie en moet je ook hun verzuchtingen meenemen. Soms is het ook nodig deze stakeholders van de juiste informatie te voorzien. Transparantie op maat is zeker geen overbodige luxe als je optimaal wilt presteren!

Uiteraard moet je er ook rekening mee houden dat we in een volatiele samenleving opereren, waarin zaken voortdurend veranderen. Je risicomanagement moet dus dynamisch zijn, klaar om in te spelen op veranderende omstandigheden. Als je dat niet kunt opbrengen, ga je al snel achter de feiten aanlopen, wat zeker niet bevorderlijk is voor je gemoedsrust en de resultaten van je team, bedrijf of organisatie.

Elk voorgaand principe bouwt op naar het volgende. Zo ook naar het principe dat risicomanagement zich baseert op de best beschikbare informatie. Dat wil zeggen: niet zomaar elke informatie aannemen of wachten op en blijven zoeken naar de allerbeste informatie. Die is kan mogelijk onbereikbaar zijn. Je moet dus zo goed mogelijk werken met de best beschikbare info die je binnen aanvaardbare parameters kunt bekomen. Zonder een geïntegreerd, gestructureerd, volledig, op maat, inclusief en dynamisch systeem, beschik je mogelijk niet over de best beschikbare informatie als je een beslissing moet nemen. Hoeveel managers en beslissingsnemers hebben na een slechte beslissing al niet gezegd: "Had ik dat maar geweten…"

Nog een belangrijk principe om op de best beschikbare informatie te kunnen steunen: je moet steeds rekening houden met menselijke en culturele factoren. Mensen leveren informatie en cultuur bepaalt hoe je die informatie interpreteert en duidt.

Tot slot zijn Rome en Parijs niet op één dag gebouwd en is het belangrijk dat je de vinger aan de pols houdt. Ben je wel geïntegreerd zoals het hoort? Is je structuur stevig genoeg? Is je aanpak echt op maat van alle afdelingen en teams? Ben je dynamisch genoeg? Werk je met de best beschikbare informatie? Houd je rekening met mensen en cultuur? Op al deze vragen is het principe van continu verbeteren van toepassing. Het is het sluitstuk dat je toelaat om na verloop van tijd een excellent managementsysteem uit te bouwen. Daarmee neem je steeds betere beslissingen, kun je risico’s nemen zonder roekeloos te zijn en behaal je excellente resultaten. Misschien is dit wel het belangrijkste principe dat alle andere aandrijft: leren en ervaring opdoen om je risicomanagement steeds verder te verbeteren.

Deze principes zijn geen “rocket science” maar fundamentele managementprincipes. In welke mate voldoet jouw organisatie, bedrijf of team eraan? Hoe rigoureus pas jij ze toe?

Laat het me weten in de reacties en commentaren!