Zet Risicomanagement op de agenda

Hoe krijg je Risicomanagement regelmatig op de agenda van het management? Maak het onderdeel van Performance Management. De aanpak is vergelijkbaar en ze vullen elkaar perfect aan. Er ontstaat door de integratie een robuuster managementsysteem. Ook wordt Risicomanagement een positieve activiteit gericht op het behalen van de organisatiedoelstellingen. We gaan kijken hoe Risicomanagement als onderdeel van Performance Management meer resultaat oplevert en dus meer aandacht moet krijgen. Een ontwikkeling die zeker de moeite waard is.

Performance Management in de praktijk

Performance Management richt zich allereerst op de Kritieke Succes Factoren (KSF’s) die bepalend zijn voor het behalen van je doelen voortkomend uit de strategie. Initiatieven, projecten om de zwakkere punten van de organisatie aangaande de Kritieke Succes Factoren bij te sturen, worden opgestart. Je gaat deze projecten en je doelstellingen vervolgens volgen op basis van Key Performance Indicatoren (KPI’s). Deze geven aan in hoeverre de gewenste verandering lukt, of dat er bijgestuurd moet worden. Alles gericht op een lerende organisatie en succes. Organisaties die dit proces goed beheersen zijn vaak een stuk succesvoller dan concurrenten of collega organisaties.

Performance Management levert vooral veel op indien het op een positieve manier in een organisatie wordt geïmplementeerd en dus niet als instrument wordt ingezet met als doel om mensen op af te rekenen en te straffen. In dat geval werkt het niet als een hulpmiddel dat stimuleert om te leren en te verbeteren. Krijg je op je donder indien iets volgens de dashboards niet goed gaat, dan gaan medewerkers steeds meer aandacht besteden aan het mogelijk manipuleren van gegevens, zodat resultaten er beter uitzien of gewoon duidelijk niet kloppen. Of ze geven aan dat slechte resultaten de schuld zijn van een ander. Medewerkers besteden hun aandacht op die manier meer aan het zich indekken, dan aan het leren uit het heden en het verleden om het in de toekomst beter te doen.

Succesvol Performance Management is het creëren van een cultuur waarbij je met zijn allen een wedstrijd wilt winnen als een team. Op het scorebord zie je hoe je ervoor staat. Je wilt de belangrijke organisatiedoelstellingen halen, omdat het leuk is om te winnen. Hiervoor moet je regelmatig gestructureerd je spel analyseren. Fouten en slechtere resultaten worden niet afgestraft, maar worden geanalyseerd om er van te leren en bij te sturen. Je onderzoekt hoe je ervoor kunt zorgen dat het de volgende keer beter gaat.  

Hoe sluit Risicomanagement aan?

En wat heeft dit nu met Risicomanagement van doen? Risicomanagement is nu nog vaak een geïsoleerde activiteit met weinig management aandacht. In veel gevallen is Risicomanagement ingericht omdat je volgens wet- & regelgeving moet kunnen aantonen dat je compliant bent. Het is dan iets wat nu eenmaal moet. Je houdt je als organisatie liever met iets anders bezig.

Daarbij zien veel managers van organisaties de Risicomanager als de boeman die één keer per maand of kwartaal slecht nieuws komt brengen door te vertellen wat er allemaal mis kan gaan. Het management is liever bezig met de business en het behalen van de doelstellingen van de organisatie. Daar willen ze hun aandacht zoveel mogelijk aan besteden. 

Echter wat vaak vergeten wordt is dat risico’s hier roet in het eten kunnen gooien indien een risico event werkelijk optreedt. Bijvoorbeeld door een grote brand, negatieve publiciteit en aansprakelijkheidsclaims door een gemanipuleerde boordcomputer die het verbrandingsgedrag van je dieselmotor wat mooier doet lijken, of het op de markt komen van een beter vervangend en goedkoper product dan dat van jou. Deze events kunnen alle mooie initiatieven om je doelstellingen te halen tenietdoen. Dus het is nog niet zo gek om er bij stil te staan. We leven daarbij in een steeds sneller veranderende wereld, waardoor het ook noodzakelijker wordt om de risico's hiervan regelmatig via een gestructureerde aanpak te analyseren en indien noodzakelijk te mitigeren. Dit om er voor te zorgen dat het niet slecht met je organisatie afloopt.

Werkelijk sturen met risico's

Door risico’s aan doelstellingen te koppelen en inzichtelijk te maken wat de invloed van de risico's op de doelen kan zijn, maakt risicomanagement direct veel belangrijker. Het wordt opeens onderdeel van het ondernemingsspel. Pak je risicomanagement integraal met Performance Management op dan wordt het ineens een belangrijk instrument om een organisatie te sturen. Je kijkt wat je moet stimuleren en wat je moet afweren wil je de organisatiedoelstellingen halen en op de langere termijn succesvol blijven. Ook hebben de risico's die een grote invloed hebben op je belangrijkste doelstellingen meer urgentie om aan te pakken dan andere risico's. Vanuit deze insteek gaat risicomanagement meer leven. Het is dan geen geïsoleerde activiteit meer, die ergens separaat in de organisatie wordt uitgevoerd. 

Bij Performance Management richt je je op die initiatieven die de Kritieke Succes Factoren (KSF’s) die bepalend zijn voor het behalen van je doelstellingen echt versterken. Met Risicomanagement vul je dit aan met aandacht voor die risico’s die tevens een belangrijke invloed kunnen hebben op het behalen van je doelstellingen indien ze optreden. Alleen nu neem je maatregelen, projecten waarmee je de kans op een risico event verkleint en, indien het risico event toch nog optreedt, je voorbereid bent en de schade zoveel mogelijk beperkt. Je definieert vervolgens Key Risk Indicatoren (KRI’s) waarmee je monitort in hoeverre je maatregelen op orde en (nog) effectief zijn.

Succesmanagement of Risk Based Performance Management

De volgende stap is om bij het strategisch en Performance Management proces direct de risico's mee te nemen. Ieder Initiatief, bijvoorbeeld het verkorte van de doorlooptijd om een product sneller te kunnen leveren heeft ook risico’s. Zoals het afnemen van de kwaliteit, omdat er door snelheid meer fouten worden gemaakt. Initiatieven om een doelstelling waar te maken kun je dus koppelen aan maatregelen om de risico’s op eventuele negatieve gevolgen van een initiatief aan te pakken. Deze integratie van Risicomanagement binnen Performance Management wordt ook wel 'Succesmanagement'  of 'Risk Based Performance Management' genoemd.

Ontwikkelingen

ISO 31000, de ISO norm voor Risicomanagement, definieert een risico als een effect op het behalen van doelstellingen, waarbij het effect een afwijking is van de verwachting, zowel positief als negatief. De definitie van Martin van Staveren: "Risico is een onzekere gebeurtenis met oorzaken, een kans van optreden en gevolgen voor doelstellingen." Zo wordt een risico al aan de doelstellingen van de organisatie gekoppeld en worden kansen die voortkomen uit een afwijking meegenomen. In de nieuwe versies van ISO kwaliteitsnormen, zoals ISO 9001 en de ISO 27001 is Risicomanagement tegenwoordig leidend verwijzend naar de 31000 norm. Risicomanagement wordt zo binnen steeds meer managementdomeinen geïntegreerd. We zijn hiermee op de goede weg.

Organisaties kijken natuurlijk binnen strategisch management met bijvoorbeeld een SWOT-analyse al naar kansen en bedreigingen die invloed hebben op de organisatie. Je bent dan al voor een deel met het analyseren van risico's begonnen binnen de strategische planning. Door dit verder uit te bouwen met de aanpak waarbij je belangrijke risico’s naast Key Succes Factoren koppelt aan de organisatie doelstellingen, zorg je ervoor dat het domein continu management aandacht krijgt en integraal onderdeel wordt van het ondernemingsspel. Want risicomanagement wordt pas echt effectief als het onderdeel wordt van het dagelijks management proces gericht op het behalen van de organisatie doelstellingen. Zo kan het domein veranderen van een verplicht enkel op compliance gericht instrument naar een positieve activiteit die werkelijk een bijdrage levert aan het behalen van de organisatie doelstellingen.