Terugblik Paneldiscussie Risicomanagement
“Oh jeetje, hoe krijg ik de organisatie zo ver en goed mee?”
Op woensdag 10 november is er een panelbijeenkomst door Infoland georganiseerd over het onderwerp Risicomanagement. Onder leiding van
Als eerste observatie valt op dat bijna bij alle organisaties meerdere pogingen zijn ondernomen om het risicomanagementproces in de organisatie te ontwerpen en te implementeren.
Deze pogingen hebben niet het gewenste resultaat gehad. Het was veelal “trekken en duwen” en afvinken en/of invullen van een Excel lijst met risico’s. Het eens per jaar bekijken van Excel-overzichten is een veel voorkomende uitgangssituatie. Dat is natuurlijk geen risicomanagement. Het panel is wel positief over de wijze waarop ze nu opnieuw bezig zijn om het risicomanagementproces te ontwerpen en te implementeren in hun organisatie. Het lijkt erop dat het tij ten positieve is gekeerd. Mede doordat nieuwe mensen en leiding betrokken zijn bij dit proces, lijkt de kans op succesvol ontwerp en implementatie groter. Dat het niet zonder slag of stoot gaat onderstreept eenieder.
De eerder gedane pogingen maakt de uitdaging wel groter. Immers risicomanagement heeft hierdoor niet altijd een positief imago. Je moet dus eerst zorgen voor betere beeldvorming en dat kost alleen al heel veel tijd, aandacht, communicatievaardigheid en geduld. Uit de organisatie komt al snel bekende feedback: “Wat gaan we nu weer doen? Weer lijstjes maken? Wat is hier het nut van? Waarom is dit nodig? Hoe moeten we dit gaan uitvoeren?”
De verwarring en negatieve houding begint al met het begrip risico. Geen leuk onderwerp om het er over te hebben. En wat is nu precies de definitie van risico? En wat betekent netto en bruto risico, of risico bereidheid? Wat zijn beheersmaatregelen, en wanneer zijn het geen maatregelen maar verbeteracties? Wanneer is iets een risico, of is het eigenlijk gewoonweg een probleem? Opvallend veel vragen over een onderwerp dat toch niet nieuw is. Femke Wijnker spreekt heel bewust over onzekerheid in plaats van risico. Wellicht is dat wel een heel goede suggestie. Welke onzekerheden zijn er voor het bereiken van de doelen. Als we die onzekerheid kunnen verkleinen, heeft dat een positief effect op onze producten/diensten, klanten, medewerkers en resultaten. Er wordt ook steeds meer gesproken over kansen. Het beteugelen van risico’s kan onze kansen vergroten om onze doelen te blijven halen, om continuïteit, kwaliteit en veiligheid zoveel als mogelijk te garanderen.
“Om de bewustwording over het onderwerp te vergoten”, zo zegt Peter van der Vlies, “is het ook goed om het gesprek aan te gaan met als insteek gezamenlijk bepalen hoeveel risico je bereid bent te nemen en waarom (risk appetite). Dit betekent dat je de grenzen bepaalt die je accepteert, en nadenkt wat je gaat doen als de grenzen worden over- of onderschreven. Een gesprek over de huidige kwetsbaarheid van de organisatie om gezamenlijk te bepalen hoe die kwetsbaarheid te verkleinen”.
Eigenaarschap
Marije Dijkstra ondervond zoveel lading bij het begrip ‘eigenaar’ (risico eigenaar) dat zij met het riskteam afgesproken heeft dit nu “bewaker” te noemen. De bewaker volgt de implementatie en borging van de verschillende maatregelen. Eigenaarschap is sowieso een enorme uitdaging. Sommige organisaties benoemen domeinen en domeineigenaren, die dan verantwoordelijk zijn voor de risico-identificatie binnen hun domein. Andere organisaties sluiten meer aan bij de bestaande structuur en maken managers verantwoordelijk voor de risico’s binnen hun verantwoordelijkheidsgebied.
Het ontwerpen van een overleg- en verantwoordingsstructuur is wel een noodzakelijk randvoorwaarde. Zowel Gelre Ziekenhuizen als Zuyderland hebben een riskteam dat bestaat uit een multidisciplinaire bezetting en die periodiek (ieder kwartaal of tertiair) de voortgang bespreken. Eigenaarschap/bewaking wordt belegd daar waar het past. Soms bij een commissie, maar het kan ook een specifieke manager of professional in de organisatie zijn. Maar dan begint het werk pas echt. Hoe zorgen we ervoor dat die eigenaren/bewakers ook echt het risico gaan beheersen, activiteiten gaan uitvoeren, hun rol oppakken? Dit blijkt bij alle deelnemers nog een grote uitdaging. Wat belangrijk is, is dat de risico-eigenaar/bewaker zelf de beheersmaatregelen gaat benoemen die nodig zijn.
Het ontwerpen van de juiste maatregelen, het bepalen hoe deze op effectiviteit gemeten gaan worden en in welke frequentie, dient in samenwerking met de maatregeleigenaren uitgevoerd te worden. Hoe eerder een maatregeleigenaar de inhoudelijke deskundige(n) erbij betrekt, hoe groter het draagvlak, de kans dat de maatregel goed wordt geformuleerd en de kans op een succesvolle implementatie. Alle panelleden zijn het erover eens: pas wanneer - met de afgesproken regelmaat - de effectiviteit van maatregelen is gemonitord, is er echt sprake van een dynamisch risicomanagementproces. Het betrekken van maatregeleigenaren is een zorgvuldig proces dat de nodige communicatieve vaardigheden vereist.
Risicomanagement steeds prominenter op de agenda
Wat verder helpt is dat het onderwerp meer op de agenda staat van de leiding (“toon vanuit de top is beter”) van het bedrijf en dat er ook meer externe druk en vragen gesteld worden over risicomanagement. Natuurlijk geeft de externe druk niet de gewenste intrinsieke motivatie, maar het kan wel helpen als je het goed gebruikt. Over het hebben van een duidelijke visie lopen de meningen uiteen bij de deelnemers. Van “er wordt over nagedacht” tot een geformaliseerd beleid, dat dan weer op papier mooi verwoord staat, maar geen garantie dat het ook goed wordt uitgevoerd. Wel zien alle deelnemers dat er ‘spontaan’ meer aanvragen komen vanuit de organisatie. Ook dat het steeds vaker als standaard onderwerp op de agenda staat of wordt opgenomen in het jaarplan van een afdeling en/of locatie. Dat is echt anders dan een paar jaar geleden.
Marije Dijkstra geeft bovendien aan dat het vastgesteld beleid is dat een risicoanalyse verplicht is bij “veranderingen die een significante impact hebben op (de continuïteit) de organisatie”. Ook hier is sprake van een gewenste beeldvormingsverandering: risicomanagement is niet de reden waarom zaken niet doorgaan. Door vroegtijdig risico’s te bespreken vergroot je de kans dat het wel doorgaat, omdat je van te voren goed hebt nagedacht. Erna Hoevenaars beaamt dit. Ook bij Zuyderland zie je steeds meer dat risicomanagement vooraf een wezenlijke bijdrage levert. Of het nu gaat om strategische risico’s of PRI’s op processen en apparatuur. Door de structuur van een riskteam, commissies en werkgroepen worden er wel degelijke goede stappen gemaakt. Anne van den Akker ziet ook dat het juist het inhoudelijke gesprek kan verrijken, en daarmee steeds meer als zinvol wordt ervaren.
Een aantal van de deelnemers maakt vorderingen ook al transparant door de risicodashboards van Zenya goed te gebruiken. Dit is voor anderen nog een wens die ze zeker willen realiseren. Op de vraag of het zo nu en dan sparren met lotgenoten zinvol is reageert iedereen enthousiast en positief. Zoals Erna Hoevenaars verwoordt: “Het is ook fijn om te constateren dat ik niet de enige ben die aan het struggelen is om het goed voor elkaar te krijgen.” De verschillende organisaties blijken op veel punten dezelfde uitdagingen te hebben.
Vanwege deze positieve bijeenkomst heeft Infoland besloten in januari er weer één te organiseren.
Mocht je daar interesse in hebben, laat het ons dan weten! Er bestaat een kans dat je er wijzer van wordt…