nlbe-nl Dé beste software voor kwaliteits- en risicomanagement.

Integraal Risicomanagement – 5 redenen waarom je niet zonder kunt

Als er een tijd is waarin blijkt dat risicomanagement belangrijk is voor élke organisatie, dan is het de huidige tijd wel. De uitdagingen waar we vandaag de dag tegenaan lopen op het gebied van gezondheid en gevaar zijn voor iedereen herkenbaar. Dat de coronacrisis niet te voorspellen viel en dus iedereen heeft verrast, wereldwijd, valt samen met de bewustwording dat dit ook iedereen raakt. Privé maar zeker ook zakelijk, van kleine organisaties en eenmanszaken tot de grote wereldleiders: iedereen heeft er op zijn eigen manier mee te maken.

En hoewel deze crisis de ‘sense of urgency’ weliswaar behoorlijk heeft aangewakkerd bij velen, zien wij al langer een noodzaak voor gedegen risicomanagement. Integraal risicomanagement om precies te zijn, waarbij dit niet ophoudt bij de top van een organisatie maar iedereen bijdraagt aan het managen van risico’s. Niet iedereen lijkt hier al klaar voor te zijn. Daarom zetten wij voor jou de vijf redenen op een rij waarom risicomanagement als integraal onderdeel van je bedrijfsvoering uitgevoerd zou moeten worden. En vervolgens delen we zes uitdagingen die overwonnen moeten worden om dit voor elkaar te krijgen.

Waarom is integraal risicomanagement belangrijk?

Een risico wordt geformuleerd als de kans dat iets plaatsvindt maal het effect dat het heeft wanneer het plaatsvindt. Wij geven je graag vijf redenen waarom risicomanagement een prominente, integrale plek binnen jouw organisatie zou moeten hebben.

Succesvolle organisaties nemen risico’s

Het opzoeken van grenzen is nodig om te kunnen groeien en kan niet zonder het bewust nemen van risico’s. Mocht het mislukken, dan kun je de fouten gebruiken om van te leren. Als een topsporter een topprestatie wil leveren, zal hij/zij de grenzen gaan opzoeken, nieuwe inzichten en methoden gaan toepassen waarbij bewust risico’s genomen worden. Daarnaast zijn het juist de succesvolle organisaties die hun risico’s heel goed kennen en daar effectieve controlemechanismen voor hebben ontwikkeld.

In de huidige VUCA wereld is het een must om risico’s te beheersen.

De huidige wereld verandert continu, is onvoorspelbaar en mensen zijn feilbaar. We weten meer niet dan wel. Het is lastig om alles bij te houden. Door de snelheid van verandering ontstaan er nieuwe risico’s en wijzigen bestaande risico’s. Dit betekent dat risicomanagement een zeer dynamisch proces moet zijn.

Elke (extra) schakel in een proces verhoogt de risico’s

Doordat processen steeds complexer worden, is samenwerking, zowel in- als extern, steeds vaker aan de orde. En juist aan overdrachten (tussen mensen, afdelingen, organisaties) kleven veel risico’s. Doordat de wereld steeds complexer wordt, zijn we ook steeds meer afhankelijk van deskundigen en experts die onderdeel zijn van het proces. Goed inzicht krijgen in risico’s vraagt om deskundig en multidisciplinair overleg.

Risicobeheersing is op langere termijn vaak kostenefficiënter

Er is altijd een spanningsveld tussen de kosten die risicobeheersing met zich meebrengt en het zo efficiënt mogelijk inrichten van een organisatie om bijvoorbeeld winst te optimaliseren. Daarbij wordt soms enkel gekeken naar het rendement op korte termijn, terwijl risicobeheersing op langere termijn juist veel kostenefficiënter blijkt te zijn.

Praten over onzekerheid is moeilijk

Risicomanagement is een moeilijk onderwerp an sich omdat je praat over onzekerheid.

  1. Voorbeeld 1: als het KNMI een weeralarm afgeeft, zegt dat eigenlijk dat er kans is op extreem weer. Als het dan wel meevalt, komt daar achteraf vaak commentaar op. Maar je kunt ook bedenken dat de schade meevalt omdat er goede voorbereidingen zijn getroffen.
  2. Voorbeeld 2: een brandalarm dat regelmatig voor niets afgaat. Na een paar keer reageren veel mensen niet meer, laat staan dat ze gaan evacueren. Wat nu als er wel eens écht brand is en het alarm weer afgaat?
  3. Voorbeeld 3: daar is het weer, corona. Wie eind 2019 had gezegd dat de hele wereld in maart 2020 op slot zou gaan vanwege een virus werd waarschijnlijk niet geloofd en uitgemaakt voor doemdenker. En waar staan we nu?

Oftewel: als je het hebt over risico’s, en die risico’s worden niet direct waarheid, word je al snel niet meer geloofd.

Zonder integraal risicomanagement zou niemand meer reageren op een brandalarm dat te vaak afgaat. Met alle gevolgen van dien.

De uitdagingen voor integraal risicomanagement

Stel, de organisatie is overtuigd na bovenstaande 5 argumenten waarom risicomanagement voor iedereen belangrijk is. Dan kun je dus aan de slag. En dat is heel mooi. Maar wij zien ook nog enkele hobbels die genomen moeten worden. Of noem ze uitdagingen, die je aan moet gaan. Wij hebben er 6 voor je op een rij gezet, plus natuurlijk onze visie op hoe je die uitdagingen het beste aangaat.

Creëer tijd en aandacht (omdat je gelooft dat risicomanagement waardevol is)

Je moet tijd nemen en vooral vooraf creëren om aan risicomanagement te (kunnen) doen. Iedereen is druk met alles voor elkaar krijgen. Daarbij vergeten we bewust afstand te nemen en tijd te geven aan proactieve analyse en onderzoek, waarmee we op tijd interventies kunnen doen die noodzakelijk zijn, en niet achteraf met veel meer kosten en ellende geconfronteerd worden.

Uit onderzoek blijkt bovendien dat het vooraf betrekken van mensen bij risico’s een positief effect heeft op de alertheid en meldingsbereidheid van mensen wanneer risico’s dreigen waarheid te worden. Onder het motto: voorkomen is beter dan genezen zul je dus de genomen tijd kunnen verantwoorden door een kosten-baten balans te maken en te laten zien wat het de organisatie op termijn oplevert.

Wees kritisch op welke risico’s je opneemt

Er is vaak discussie of de juiste risico’s geïdentificeerd zijn. Het gaat niet om het creëren van een zo compleet mogelijke lijst met risico’s. Wat is het uitgangspunt om risico’s te identificeren? Dit zouden de doelstellingen moeten zijn, van de organisatie, of het proces, of het project. De kolom met deze informatie ontbreekt veelal bij de risico’s die zijn opgenomen. Met het koppelen van risico’s aan doelstellingen of te bereiken resultaten wordt ook direct het belang van beheersen duidelijker. In lijsten staan vaak ook problemen in plaats van risico’s.

Een probleem is reeds aanwezig en moet opgelost worden. Een risico is een abstracte kans dat iets een probleem kan gaan worden.

Risicomanagement werkt alleen als er eigenaarschap getoond wordt

Alles staat of valt met eigenaarschap. Risicomanagement doe je niet alleen en kun je ook niet alleen doen. Integraal risicomanagement is risicomanagement dat in alle lagen van de organisatie moet leven. Maar alleen als medewerkers zich ook verantwoordelijk voelen voor de risico’s en de beheersing daarvan, zullen ze er ook daadwerkelijk actief mee aan de slag gaan. Je kunt hierbij gebruik maken van een netwerk aan informele risicoleiders, die het goede voorbeeld geven en waar anderen tegenop kijken, waardoor ze het voorbeeld gemakkelijker gaan volgen.

Door eigenaarschap bij de juiste verantwoordelijke medewerkers te beleggen, creëer je draagvlak en draagkracht dwars door de organisatie heen. Eigenaarschap betekent verantwoordelijkheid nemen en regelmatig verantwoording afleggen op risiconiveau. Het is daarbij belangrijk dat de eigenaar gevraagd wordt wat hij/zij nodig heeft om regelmatig feedback te geven op de status van het risico.

Risicomanagement is geen eenmalige (jaarlijkse) actie

Veel organisaties werken met Excel om risicomanagement uit te voeren. Vaak zijn dit lijsten met tientallen of soms zelfs honderden risico’s. Dat is een mooie inventarisatie, maar wat doe je er vervolgens actief en concreet mee? Hoe vaak wordt deze lijst geactualiseerd?

Eenmalig een lijst met risico’s maken is mooi, maar dat is geen risicomanagement. We zullen niet zeggen dat je dan beter helemaal niet kunt doen, maar je kunt je wel afvragen of je inspanningen in dat geval nuttig zijn. Risicomanagement is namelijk een continu proces, als je het goed wil doen.

Een best practice is om structuur aan te brengen in overleg en verantwoording, door dit bijvoorbeeld ieder kwartaal te doen. Als risicomanager kun je dan vragen aan de verantwoordelijken per domein (zoals een project of afdeling) hoe het ervoor staat. De verantwoordelijken zullen hiervoor op hun beurt regelmatig feedback moeten opvragen bij de risico-eigenaren zodat zij in het periodieke overleg ook weten wat de stand van zaken is. En de risico-eigenaren zullen zelf ook om data of feedback uit de organisatie gaan vragen om hun periodieke bijdrage te ondersteunen.

Maatregelen opschrijven is niet genoeg: het gaat om de effectiviteit

Een lijst met risico’s doet niets. Het gaat erom dat we via data en feedback informatie krijgen hoe effectief de maatregelen zijn in de praktijk. Werken ze, waardoor de kans dat het risico voorkomt verkleind wordt of de schade wordt verminderd? En hoeveel kost het om de maatregelen uit te voeren, zodat je een afweging te maken of die kosten verantwoord zijn in relatie tot de kosten wanneer het risico voorkomt.

Bij maatregelen wordt vaak verwezen naar documenten, beleid, werkinstructies etc. Dit is niet voldoende om als beheersmaatregel bij risico’s te fungeren. Deze maatregelen doen namelijk niets. Het zijn beschrijvingen, statische maatregelen. Een voorbeeld hierbij:

Tijdens een BHV– of EHBO-cursus leer je o.a. hoe je moet reanimeren, hoe je iemand in de stabiele zijligging legt en hoe je verschillende typen branden moet blussen. Het certificaat dat je krijgt is 1 of 2 jaar geldig, daarna ga je op herhaling om je kennis op te frissen. Maar, vrijwel niemand zal precies onthouden hoe het ook alweer zat.

Een app of een boek met protocollen bij calamiteiten biedt dan houvast. Maar voor iemand die nooit een cursus heeft gehad, is zo’n app of protocol niet heel nuttig, omdat diegene de basiskennis mist. Een actieve maatregel is dus een korte oefening die periodiek wordt uitgevoerd.

Bij het bepalen van de juiste maatregelen inclusief het checken van de effectiviteit is het belangrijk om alleen die controles uit te voeren die als nuttig worden beschouwd, en dat er geen controles worden gedaan enkel om het controleren op zichzelf. Dat komt het verantwoordelijkheidsgevoel bij de eigenaar namelijk niet ten goede.

Je imago is een groot risico

Je zorgvuldig opgebouwde reputatie is in de huidige tijd met social media heel snel naar de knoppen. Spreek goed af met de medewerkers hoe er gecommuniceerd wordt over risico’s, calamiteiten en incidenten. We schreven hierboven al dat we zien dat praten over onzekerheid moeilijk is. Praten over incidenten is nog veel moeilijker. Maar de tijd dat je fouten intern kon oplossen zonder dat de buitenwereld er lucht van kreeg (ook wel onder het tapijt schuiven genoemd, of in de doofpot stoppen), is echt wel voorbij.

Oftewel: je kunt beter zelf open en eerlijk communiceren dan dat het op een andere manier naar buiten komt. Hiervoor is het dus van belang dat je afspreekt wie wat gaan communiceren, mocht het zover komen. Borg verder dat je bij het uitvoeren van risicoanalyses altijd de mogelijke gevolgen voor imago meeneemt.

Wil jij ook binnen jouw organisatie aan de slag met Integraal Risicomanagement maar kun je wel wat hulp gebruiken bij de uitdagingen? Wij helpen je graag! Neem eens contact op met onze experts en wij laten jou graag zien wat de mogelijkheden zijn.

Benieuwd wat Zenya
voor jouw organisatie kan betekenen?

Neem vrijblijvend contact op met onze experts! Wij denken graag met je mee.