Organisatienetwerken zijn een opkomend fenomeen in de (semi-)publieke sector en vormen een – en volgens sommigen zelfs hét – ‘organiseer-antwoord’ op de complexe, maatschappelijke vraagstukken waar maatschappelijke organisaties mee worstelen.
Patrick Kenis definieert een organisatienetwerk (zie boek Organisatienetwerken) als een verband van soevereine en unieke organisaties die informatie, middelen, activiteiten en competenties van soevereine en unieke organisaties verbinden en delen om samen een outcome te bewerkstelligen die geen van de organisaties afzonderlijk tot stand kan brengen.
Op basis van een serie interviews met bestuurders en managers in het publieke domein, hebben wij de volgende ‘eenvoudige’ formule ontwikkeld om de kans op Resultaat van besturing te kunnen bepalen. De formule is ontwikkeld met het publieke domein van provincie, regio, stad, dorp, wijk, buurt of straat als vertrekpunt.
Er is bij de start, uiteraard, altijd een voorliggende Kwestie die opgelost dient te worden. Immers, anders valt er niets te besturen. De koppen in het dagelijkse nieuws, de verkiezingsprogramma’s en college-akkoorden maken duidelijk dat het eenvoudig is een concreet voorbeeld te kiezen. Het publieke domein van burger en samenleving is rijkelijk bedeeld met kwesties.
Er zijn in de formule, die met uiterste zorg is ontwikkeld, drie determinanten die zich in de vorm van een vermenigvuldiging voordoen en die bepalend zijn voor de uiteindelijke uitkomst:
SK: Stimulerende Kaders. Essentieel, om het gehele publieke speelveld van organisaties en burgers uit te leggen wat de weg of opgave is die voorligt. Dit inzicht blijkt cruciaal om gericht en gecoördineerd te kunnen en willen acteren. Dit geldt uiteraard ook voor de acterende publieke organisaties (gemeente, provincie, waterschap en verbonden partijen) zelve. Leiderschap daarbij is waardegedreven, stimulerend, prikkelend en hoedend.
OK: Organisatiekracht. Wat of waartoe besloten wordt kan alleen worden uitgevoerd of bereikt als deze kracht in politiek, bestuur en management aanwezig is. Het blijkt daarbij te gaan om een uitgebalanceerde set waarbij kennis, vaardigheden, stijlen en karakters bij elkaar komen en zijn afgestemd.
IV: Investerend Vermogen ligt aan de basis. Dat lijkt voor zichzelf te spreken, maar de doorrekening van wat echt nodig is aan geld, tijd en capaciteit vraagt om gedegen kennis van zaken en uiterste zorgvuldigheid in het toepassen van de juiste juridische en financiële instrumenten.
R: Resultaat is de uitkomst van het geheel aan inspanningen die erop zijn gericht is om de Kwestie op te lossen of tenminste acceptabel te kunnen veranderen.
Het bijzondere van de formule is dat ‘over de duim’ en op de ‘achterkant van de sigarendoos’ met enkele korte slagen de inschatting kan worden gemaakt of Resultaat erin zit. Met een gerichte en open navraag onder betrokkenen kan elke politicus, elke bestuurder, elke manager en elke medewerker de berekening maken, zo is gebleken.
De geïnterviewden wezen ons erop dat in de wiskundigheid van deze formule naar voren komt, dat indien één van de determinanten nul is, ook de uitkomst, het Resultaat, nul is. Met andere woorden, alle determinanten dienen tegelijkertijd ‘aan’ te staan.
In de evaluatie van de toepassing van de formule concluderen de uitvinders dat deze tot adequate en snelle diagnose kan leiden, en die openheid en dialoog stimuleert. De formule wordt ook ervaren als lastig, ongemakkelijk of confronterend. Het effect kan zijn dat de ‘planken voor de kop’ of de ‘groeven in de langspeelplaat’ niet weg te halen zijn, respectievelijk zich kunnen verdiepen. ‘Ontkenning’ van het voor de hand liggende is een verschijnsel dat zeer regelmatig voorkomt, zo blijkt uit toepassing en gebruik. In dat geval is de kans niet denkbeeldig dat R = nul kan zijn. Dit is overigens waartoe een bestuurder met lef toe kan besluiten. In geval van twijfel wordt geadviseerd het hieronder genoemde genootschap te consulteren.
* Hans Redert en Jack Kruf vormen het Genootschap ‘Heren van Oranje’. Het is gericht op de bevordering van Rentmeesterschap van het Publieke Domein.
Georgina Kuipers, Gert Jan Geertjes, Martijn van der Steen | 2023, NSOB
Dit essay is een verkenning van de verhoudingen tussen macht en tegenmacht in Nederland. Welke actoren formeel tot de macht respectievelijk tegenmacht behoren staat echter niet vast en van een stelsel is formeel geen sprake. In dat licht spreken auteurs Georgina Kuipers, Gert Jan Geertjes en Martijn van der Steen over het ‘landschap’ van macht en tegenmacht.
We bespreken wat wij onder tegenmacht verstaan, welke partijen deze kunnen uitoefenen, op welke manieren, en wat daarbij in het bijzonder de rol en positie van maatschappelijke organisaties is. We gaan na of die positie verzwakt of bemoeilijkt is en versterking behoeft. Wat is er de afgelopen jaren gebeurd in het landschap van tegenmacht, en hoe kunnen maatschappelijke actoren in staat worden gesteld om effectief tegenspraak te bieden binnen de democratische rechtsstaat?
Het essay schetst het landschap van macht en tegenmacht als een cirkel, waarin de formeel-juridische kernmachten – wetgevende, uitvoerende en rechtsprekende macht – worden omringd door institutionele en geïnstitutionaliseerde tegenmachten (de Nationale ombudsman, de Onderzoeksraad voor Veiligheid, het Centraal Planbureau), en vervolgens door maatschappelijke tegenmachten van divers pluimage: verenigingen, ngo’s, bedrijven, burgerinitiatieven of onderzoeksjournalisten. Veel belangen zijn bovendien niet of onvoldoende vertegenwoordigd – natuur, toekomstige generaties en kwetsbare groepen als daklozen of laaggeletterden. Deze groep fungeert als een soort ‘rafelrand’ in het landschap van macht en tegenmacht.
We beschrijven in het essay ontwikkelingen in dat landschap en maken de balans op door een vijftal dynamieken van tegenmacht te beschrijven: openbaarheid, institutionalisering, coalities, verlamming, en insluiting en uitsluiting. Tegenmacht is een dynamisch geheel dat voortdurend onderhoud en zorg vereist. We sluiten daarom af met het beschrijven van verschillende niveaus om tegenmacht te versterken en krachtiger te maken. Een eerste niveau betreft het beter gebruik maken van bestaande middelen en mogelijkheden in het landschap van tegenmacht. Een tweede niveau gaat over kaders en randvoorwaarden. Het derde niveau gaat over de vraag hoe macht en tegenmacht verdeeld worden, en door wie. Dit laatste niveau betreft een machtige bevoegdheid en is daarmee ook een politieke vraag.
Kuipers, G., Geertjes, G. en Steen, M. van der (2023) Wie wordt gehoord?: Dynamiek in het landschap van macht en tegenmacht. Den Haag: Nederlandse School voor Openbaar Bestuur.
Inleiding
Alle ondernemingen lopen operationele risico’s, variërend van stormschade aan een gebouw, systeemstoringen en het vertrek van belangrijke medewerkers tot boekhoudfouten, interne/externe fraude en misleiding van aandeelhouders. Sinds beruchte schandalen bij ondernemingen als Barings, Enron, Worldcom, Parmalat, Shell en Ahold staat operationeel risicomanagement hoog op de agenda van ondernemingen, wetgevers en toezichthouders. Operationeel risico is het risico van verlies als gevolg van inadequate of falende interne processen, mensen en systemen of als gevolg van externe gebeurtenissen.
Terwijl financieel risicomanagement, vaak uitgesplitst naar markt- en kredietrisico, al veel langer bestaat en verder is ontwikkeld, is de aandacht voor operationeel risicomanagement relatief nieuw en zijn de methoden hiervoor nog niet uitgekristalliseerd (Leenaars, 2003). Markt- en kredietrisico beperken zich doorgaans tot specifieke activiteiten en afdelingen, laten zich goed analyseren aan de hand van algemeen aanvaarde marktgegevens en kunnen daardoor bewust worden genomen. Operationele risico’s zijn niet altijd eenvoudig identificeerbaar en raken de gehele onderneming (Simon, 2004).
In dit artikel wordt gezocht naar een antwoord op de vraag op welke wijze operationeel risicomanagement in een onderneming, in het bijzonder in het verzekeringsbedrijf, kan worden geïmplementeerd, zodanig dat toegevoegde waarde wordt gerealiseerd, dat wil zeggen dat meer wordt bereikt dan alleen compliance.
Dat operationeel risicomanagement geen managementhype is, komt mede omdat er een stevige basis voor is/wordt gelegd in wet- en regelgeving. In Basel II en Solvency II wordt geëist dat financiële instellingen ook kapitaal aanhouden voor operationele risico’s. Corporate governance codes, zoals Tabaksblat in Nederland en Sarbanes-Oxley in de Verenigde Staten, vragen om een interne beheersingsverklaring.
De Nederlandsche Bank kent een risicogebaseerd toezicht en beoordeelt daarvoor ook de risicobeheersing van de onder toezicht staande instellingen. Rating agencies, zoals Standard & Poor’s en Moody’s nemen het risicomanagement van een onderneming mee in hun beoordeling van de kredietwaardigheid. Men kan vaststellen dat operationeel risicomanagement een noodzakelijke voorwaarde is geworden om in de financiële sector actief en succesvol te kunnen zijn.
Risico wordt vaak in negatieve termen besproken: als bedreiging voor het realiseren van doelstellingen of als kans op verlies (men noemt dit wel de downside van risico). De nadruk ligt op de negatieve implicaties van slecht operationeel risicomanagement en de verliezen die daar het gevolg van zijn. De eerste doelstelling van operationeel risicomanagement is inderdaad de continuïteit van de onderneming te bevorderen door de risico’s die een onderneming loopt tot een bewust aanvaard niveau te beheersen.
Daarnaast is er nadrukkelijk ook een positieve kant (dit is de upside) van operationeel risicomanagement. Een betere beheersing van risico’s levert concurrentievoordeel op, zeker als het samengaat met efficiency- en kwaliteitsverbetering. En een goede reputatie op het gebied van interne controle en integere bedrijfsvoering draagt bij aan de aandeelhouderswaarde, al dan niet via de rating van de kredietwaardigheid. Voor ondernemingen die dat oppakken, is operationeel risicomanagement geen kwestie van moeten, maar een kwestie van willen.
Implementatie van operationeel risicomanagement is niet eenvoudig. Gegevens met betrekking tot operationeel risico zijn doorgaans beperkt beschikbaar en moeilijk te kwantificeren. Door de grote diversiteit aan gebeurtenissen en oorzaken van operationeel risico is het moeilijk daarvoor meetbare doelstellingen vast te stellen en te monitoren. Het verband tussen oorzaak en gevolg is vaak complex en de beheersing geschiedt deels op subjectieve gronden. Veel ondernemingen accepteren operationeel risico als een onvermijdelijke kostenpost die erbij hoort, een ‘cost of doing business’.
De ondernemingscultuur is van grote invloed op het operationeel risicomanagement. In de bestudering en implementatie van operationeel risicomanagement ligt de nadruk in de regel op het meten van operationele risico’s en op de verschillende maatregelen om deze risico’s te mitigeren. Toch is het vaak de cultuur van de onderneming die bepaalt of een programma voor operationeel risicomanagement succesvol is of niet. Een cultuur waarin integriteit en bewustzijn van operationeel risico hoog in het vaandel staan, benadrukt de persoonlijke verantwoordelijkheid van alle medewerkers en bestrijdt een schuldcultuur waarin mensen risico’s en verliezen verborgen houden uit angst voor represailles. Omdat implementatie van operationeel risicomanagement een cultuurverandering vergt, dient veel aandacht uit te gaan naar de beleving en perceptie van risico en risicobeheersing in een onderneming.
Operationeel risicomanagement is het effectiefst als het onderdeel is van de professionele moraal die vanzelfsprekend is. Om daartoe te komen, moeten een organisatie en de mensen die de organisatie vormen een ontwikkeling doormaken, die in het algemeen vaak verloopt van moeten (extrinsieke motivatie: nieuwe wetgeving, incidenten), via kunnen (formalisering van beleid: procedures, charters, interne regelgeving) naar willen (verinnerlijkte moraliteit).
De opbouw van dit artikel is als volgt. Een nadere begripsbepaling wordt kort gegeven in paragraaf 2. In paragraaf 3 wordt de in het onderzoek toegepaste methodologie uiteengezet en paragraaf 4 bespreekt de belangrijkste onderzoeksresultaten. Paragraaf 5 sluit af met enkele conclusies.
2. Begripsbepaling
De laatste jaren tekent zich consensus af over de volgende definitie van operationeel risico: het risico van verlies als gevolg van inadequate of falende interne processen, mensen en systemen of als gevolg van externe gebeurtenissen. Sinds 2001 hanteert ook Basel (2001) deze definitie, die gebaseerd is op vier onderliggende oorzaken van operationeel risico (processen, mensen, systemen en externe gebeurtenissen). Dit biedt directe aanknopingspunten voor het maken van een risicoanalyse en de beheersing van operationeel risico. Onderscheid moet worden gemaakt tussen oorzaken, verliesgebeurtenissen en de winsten en verliezen die daar het gevolg van zijn. Operationeel risico kan op elk van deze drie aspecten worden geanalyseerd.
Minder overeenstemming is er als de definitie in concrete voorbeelden wordt uitgewerkt. In de regel wordt het strategisch risico, dat wil zeggen de vraag of de strategische beslissingen van een onderneming juist zijn en bijzondere risico’s met zich meebrengen, niet tot het operationeel risico gerekend. Als de uitvoering van de strategie faalt, denk bijvoorbeeld aan te trage productontwikkeling, ondeugdelijke verkooppraktijken en falende kostenbesparingen, kan wel van een operationeel risico worden gesproken.
Het Basel Committee (2005) rekent reputatierisico niet tot het operationeel risico, vanwege het praktische bezwaar dat deze risico’s niet goed meetbaar zijn. Uitsluiting van het reputatierisico is om praktische redenen begrijpelijk, maar dat neemt niet weg dat het een significant risico is dat niet buiten beschouwing kan worden gelaten in het totale risicomanagement van een onderneming. Simons (2000) vindt reputatierisico, dat hij franchise risk noemt, juist het grootste risico, omdat het tot een snelle ondergang van de onderneming kan leiden als klanten, medewerkers en aandeelhouders het vertrouwen in de onderneming verliezen.
Een te breed perspectief biedt geen aanknopingspunten voor risicomanagement. Een nadere rubricering van het operationeel risico is wenselijk om de algemene definitie meer inhoud te geven en af te bakenen. Ondernemingen die een te beperkte classificatie kiezen waarin een aantal soorten operationeel risico wordt uitgesloten omdat deze niet goed meetbaar zijn, accepteren daarmee het risico dat die risico’s niet worden geanalyseerd en gemanaged. We moeten accepteren dat het begrip operationeel risico nooit volledig te beschrijven is, hetgeen tegelijkertijd een belemmering is voor risicomanagement. Hoe gedetailleerd de gekozen classificatie ook is, er zullen altijd meer en andere gebeurtenissen zijn die tot operationele verliezen kunnen leiden.
Een gestandaardiseerde methode is niet voorhanden, noch voor de wijze waarop een onderneming invulling zou moeten geven aan operationeel risicomanagement, noch voor de wijze waarop dit goed wordt geïmplementeerd. De bestaande publicaties op dit gebied zijn veelal korte artikelen of bloemlezingen, waarin verschillende auteurs deelaspecten nader uitwerken, zoals kwantificering en verzekering, of eigen raamwerken presenteren waarmee bijvoorbeeld aan de eisen van Basel II en corporate governance codes kan worden voldaan (Alexander, 2003; Risk Books, 2003; Chorafas, 2004; Emanuels en De Munnik, 2006). Anderen laten vooral best practices zien (Hoffman, 2002).
Het raamwerk voor interne controle van COSO uit 1992, dat ook door Tabaksblat (Commissie corporate governance, 2003) als voorbeeld wordt genoemd, en vooral de uitbreiding daarvan tot een raamwerk voor enterprise risk management, lijken thans het meest gebruikt te worden. COSO hanteert een ruimer risicobegrip dan Basel en is toepasbaar voor de beheersing van diverse soorten ondernemingsrisico. COSO (2004, p. 16) definieert risicomanagement als volgt:
“Enterprise risk management is a process, effected by an entity’s board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risks to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives.”
Een aantal fundamentele concepten is in deze definitie verankerd. In de eerste plaats is risicomanagement een proces en daarmee middel in plaats van doel. De definitie maakt ook duidelijk dat mensen op alle niveaus in de organisatie het risicomanagement inhoud geven. Tegelijkertijd worden mensen ook door het risicomanagement beïnvloed. Het bepaalt mede hun verantwoordelijkheden, bevoegdheden, verplichtingen en de manier waarop zij hun werk doen.
Risk appetite is de mate van risico die een onderneming bereid is te nemen, vaak in samenhang met de doelstellingen op het gebied van groei en rendement. Risicoafwegingen spelen een rol bij het bepalen van de strategie, het afwegen van alternatieven en het alloceren van middelen. Goed risicomanagement geeft de ondernemingsleiding redelijke zekerheid ten aanzien van strategie (zijn doelen in overeenstemming met de missie van de onderneming), operaties (effectief en efficiënt gebruik van middelen), de betrouwbaarheid van de verslaglegging en het voldoen aan wet- en regelgeving (compliance).
3. Methodologie
De afgelopen decennia is de benadering van organisatieverandering ingrijpend gewijzigd. Waar verandering eerst werd gezien als een bevel tot een nieuwe manier van werken van de hoogste baas, is nu vaker sprake van een proces waarin alle medewerkers worden betrokken. Het belang van empowerment, de organisatiecultuur en interne communicatie bij verandering wordt breed erkend. Een onderzoeksmethode die hierbij aansluit en hier wordt toegepast, is actieonderzoek (Reason en Bradbury, 2001). Dit is een participatieve en op samenwerking gerichte onderzoeksmethode, waarin theorie, onderzoek en praktijk worden geïntegreerd. In een cyclisch proces van handelen en reflecteren wordt kennis gegenereerd, theorie ontwikkeld en een verandering in de organisatie gerealiseerd. Het doel is zowel kennis te vergaren over de praktijk als de praktijk mee te sturen vanuit het onderzoek. Daarmee is actieonderzoek een middel voor organisatieverandering. Kenmerkend voor actieonderzoek is een cyclisch (in plaats van lineair) proces van actie en reflectie, van grof naar fijn. Handelen en reflecteren op dat handelen leiden tot leren en daarmee tot kennisgeneratie en theorieontwikkeling.
De rol van de onderzoeker kan in actieonderzoek niet afstandelijk zijn. Het is niet alleen observeren, registreren en analyseren. Hij werkt lerend mee in de richting van het gestelde doel. Hij is dan ook noch onpartijdig noch onverschillig. Dit is afwijkend van traditionelere onderzoeksmethoden, waarin de onderzoeker geacht wordt objectief en onafhankelijk te analyseren en de rollen van onderzoeker en onderzochte strikt te scheiden. Actieonderzoek daarentegen onderkent dat iedere inmenging in het kader van onderzoek op zichzelf ook een interventie in het proces is en dat de onderzoeker daarmee het proces beïnvloedt. Bovendien kan de inbreng van de onder zochten in het onderzoeksontwerp en de uitvoering daarvan het onderzoek ten goede komen.
Managementtechnieken voor het realiseren van organisatieverandering die uitgaan van de macht van de top van het bedrijf, resulteren in een openlijke navolging van hetgeen is opgedragen, met andere woorden compliance op de korte termijn. Er vindt echter geen verinnerlijking plaats. Daarvoor zijn leren, communicatie, betrokkenheid en werkelijke invloed van medewerkers bij organisatieverandering van belang. Als invloed in plaats van macht wordt uitgeoefend, creëert dat weinig openlijke conformiteit, maar wordt gevolg gegeven aan de doelen van de gewenste verandering alsof mensen die zelf bedacht en tot stand gebracht hebben. De omschakeling die dan plaatsvindt, heeft een veel langere termijn karakter. Dit inzicht is van belang voor een implementatie van operationeel risicomanagement die bijdraagt aan de ontwikkeling van de organisatie en aan het behalen van de ondernemingsdoelstellingen en niet beperkt blijft tot het voldoen aan de aangescherpte eisen van regelgevers en toezichthouders.
Actieonderzoek laat ruimte voor veel verschillende methoden, zoals literatuuronderzoek, interviews, brainstormsessies, observaties, consultaties, trainingen, groepsdiscussies, enquêtes, rollenspellen en vele andere. De keuze van de methode is maatwerk en kan in ieder actieonderzoek anders zijn. In het reflectiedeel van het actieonderzoek is gekozen voor de Q-methodologie, omdat die systematische studie van subjectiviteit mogelijk maakt. Het resultaat is een beschrijving van de dominante patronen in de opvattingen van betrokkenen over operationeel risicomanagement.
Deze methode is ontwikkeld door Stephenson (1953) en onder andere uitgewerkt en toegepast door Brown (1996). Het is een kwalitatieve onderzoeksmethode, die gebruikmaakt van kwantitatieve, statistische technieken (factoranalyse). Een essentieel kenmerk is dat de Q-methodologie de uitspraken van de respondenten generaliseert en niet de respondenten. Geconcludeerd wordt niet dat een bepaald percentage van de respondenten iets vindt. Gezocht wordt naar de kenmerken van patronen in opvattingen (visies) en naar de mate waarin die overeenkomsten en verschillen vertonen. Daarvoor is, in tegenstelling tot veel kwantitatief onderzoek, geen groot aantal respondenten nodig.
Een Q-sort onderzoek begint met het verzamelen en selecteren van uitspraken over het onderwerp. Het geheel van uitspraken dat in het debat over een bepaald onderwerp aan de orde is, wordt het concourse genoemd. Het gaat daarbij om subjectieve stellingen of meningen, niet om objectieve waarheden. Vervolgens wordt uit het ruwe materiaal een selectie gemaakt, de zogenaamde Q-sample. Dit zijn de uitspraken die aan de respondenten worden voorgelegd. De selectie moet zodanig worden gemaakt dat een representatieve miniatuur ontstaat van het grote geheel. Daartoe worden de stellingen gecategoriseerd en wordt binnen de categorie vastgesteld dat de stellingen het hele spectrum aan meningen afdekken en dat een aantal stellingen onderling onverenigbaar is.
De Q-methodologie stelt geen eisen aan het aantal categorieën, het aantal stellingen per categorie of een evenredige verdeling van het aantal stellingen per categorie. Daar komt bij dat de interpretatie van de categorieën en stellingen van de onderzoeker kan afwijken van die van de respondenten. De reflectie van de respondent is belangrijker dan de categorisering die door de onderzoeker is bedacht. Respondenten wordt gevraagd de stellingen te ordenen van “helemaal mee oneens” (-3) tot “helemaal mee eens” (+3) in een quasi-normaalverdeling. Er is sprake van een gedwongen ordening: het aantal stellingen per kolom staat vast en de respondent moet van evenveel stellingen aangeven dat hij het hier mee eens is als oneens. In de analyse is de plaats van de ene stelling ten opzichte van de andere belangrijker dan de individuele score op een stelling. Het resultaat van deze ordening heet een Q-sort.
De Q-sorts van alle respondenten worden statistisch geanalyseerd door middel van factoranalyse (Smolck, 2002). Hieruit komen factoren naar voren, dat wil zeggen stelsels van met elkaar samenhangende uitspraken. Iedere factor vertegenwoordigt een bepaalde visie op het onderwerp. Het aantal factoren dat uit de analyse naar voren komt, is afhankelijk van de Q-sorts en de mate van verscheidenheid daarin.
4. Onderzoeksopzet en resultaten
Het onderzoek heeft plaatsgevonden bij de Nederlandse verzekeringsmaatschappij AEGON in het bedrijfsonderdeel voor schadeverzekeringen. Het begin van het onderzoek was niet het begin van het denken over operationeel onderzoek in de organisatie. Er is sprake van interventie in een bestaande organisatie met een lange historie, waarin operationeel risicomanagement (impliciet) al op een bepaalde manier inhoud heeft gekregen. Er wordt dus niet iets geheel nieuws geïntroduceerd, maar wel wordt beoogd een impuls te geven aan operationeel risicomanagement en een nieuwe inhoud die beter aansluit bij de eisen van deze tijd.
Fig.1. Fasen in de ontwikkeling van operationeel risicomanagement.
Op basis van eigen waarneming worden vier fasen onderscheiden in de ontwikkeling van operationeel risicomanagement, die in figuur 1 schematisch zijn weergegeven. De “cirkels” van actie en reflectie in het actieonderzoek “helpen” de organisatie door deze fasen te migreren. In de praktijk zijn de verschillende cirkels in het onderzoek niet geheel van elkaar te scheiden en begint de tweede cirkel al voordat de eerste is afgerond. Dit wordt mede veroorzaakt door onvermijdelijke tempoverschillen tussen individuen en organisatieonderdelen.
De eerste cirkel in het actieonderzoek beslaat de ontwikkeling van fase 1 naar het begin van fase 3. De bewustwording van de noodzaak van operationeel risicomanagement neemt sterk toe en de eerste structurele maatregelen worden genomen om operationeel risicomanagement in de organisatie te verankeren. De nadruk ligt op het voldoen aan wet- en regelgeving, waaronder Sarbanes-Oxley die eisen stelt aan de integriteit van de financiële rapportage.
Bewustwording wordt geholpen door enkele gevallen van negatieve publiciteit. In oktober 2004 bijvoorbeeld beschuldigde de openbaar aanklager in New York, Eliot Spitzer, een verzekeringsmakelaar en verschillende verzekeraars in de Verenigde Staten van misleiding en manipulatie van klanten. In Nederland kan de negatieve publiciteit rondom aandelenleaseproducten en beleggingshypotheken als voorbeeld worden genoemd.
Acties die in deze periode door het onderzochte bedrijf zijn genomen, zijn onder andere de inrichting van een afdeling Risk Management. Ook zijn trainingen en presentaties verzorgd, waarin het doel van operationeel risicomanagement is toegelicht en is afgesproken dat de verantwoordelijkheid voor risicomanagement niet bij een stafafdeling ligt, maar in de lijnorganisatie. Risicobeheersing bestaat vooral uit correctie en repressie van de mogelijke negatieve gevolgen van de operationele risico’s, zoals verrassingen in de resultaten en reputatieschade. Tegen het eind van deze eerste cirkel worden ook de voordelen van risicomanagement voor de bedrijfsvoering zichtbaarder. De toegenomen kennis van de processen en de risico’s daarin worden gebruikt om fouten en verliezen te beperken, hetgeen leidt tot efficiencyverbeteringen en een betere kwaliteit.
In het reflectiedeel van de eerste cirkel in het actieonderzoek zijn met toepassing van de Q-methodologie 31 stellingen voorgelegd over het bewustzijn van de ernst en omvang van operationele risico’s, het nut van operationeel risicomanagement en de verantwoordelijkheid voor risicomanagement en de te nemen maatregelen. Hieruit kwam naar voren dat binnen de onderneming drie visies met betrekking tot operationeel risicomanagement bestaan:
Visie 1: focus op interne processen focus op interne processen voor verbetering van efficiency en kwaliteit
Aanhangers van deze visie zijn vooral intern gericht en beschouwen risicomanagement als een middel om de efficiency en de kwaliteit van de bedrijfsvoering te verbeteren. Zij streven een bedrijfsvoering na die als een goed geoliede machine is met strak geregisseerde processen die weinig ruimte laten voor eigen inbreng van medewerkers.
Visie 2: focus op gedrag en eigen verantwoordelijkheid van mensen
Deze groep verwacht van iedereen een manier van werken die in het belang van het bedrijf is en in overeenstemming met de geest van de richtlijnen. Participatie van medewerkers bij besluitvorming wordt belangrijk gevonden, maar dit gaat niet samen met een groot vertrouwen in mensen. Meer dan de aanhangers van de andere visies wordt controle noodzakelijk geacht.
Visie 3: focus op extern imago bij aandeelhouders en klanten
Door deze groep wordt een aanzienlijk publiciteitsrisico onderkend. Operationele blunders schaden het vertrouwen en belemmeren daarmee de groei en winstgevendheid van het bedrijf. Door risicomanagement expliciet zichtbaar te maken, kan de aandelenkoers positief worden beïnvloed en concurrentievoordeel worden behaald. Deze groep hecht aan beperking van de volatiliteit en ziet risicomanagement als een middel daarvoor.
In alle visies wordt het belang van risicomanagement onderschreven, maar de oorzaak van dat belang en de wijze waarop daaraan invulling moet worden gegeven verschillen. Toch sluiten de verschillende visies elkaar niet geheel uit en bleek de correlatie tussen de visies redelijk hoog. Consensus is noch haalbaar noch nodig. Er blijken voldoende aanknopingspunten om gezamenlijk aan risicobeheersing te werken. Het gaat dan ook niet om een keuze voor één van de drie visies, maar om een pakket maatregelen waarin een balans tussen de verschillende belangen wordt bereikt. Hierdoor wordt voorkomen dat een deel van de mensen, wier problemen niet worden geadresseerd, als het ware afhaakt.
In de tweede cirkel van het actieonderzoek werd geprobeerd een brug te slaan van noodzaak naar nut van operationeel risicomanagement en zo ver mogelijk in fase 4 te komen. Met andere woorden, het doel is dat de wijze waarop operationeel risicomanagement wordt ervaren, verschuift van een noodzakelijk kwaad tot een positief instrument voor de verdere professionalisering van de bedrijfsvoering. Managers die operationeel risicomanagement ook strategisch gaan beschouwen en risicomanagement in de besluitvorming integreren, zoeken niet alleen naar risicoreductie, maar veel meer naar risico-optimalisatie. Bij deze fase past een pro-actief risicomanagement. In plaats van bestaande processen achteraf te analyseren en beheersbaar te maken, wordt bij het ontwerpen van processen en projecten reeds rekening gehouden met de daaraan verbonden risico’s en beheersingsmaatregelen.
Concreet is hieraan invulling gegeven door risk & control self-assessment workshops, waarin met directbetrokkenen risico’s en beheersingsmaatregelen worden geïdentificeerd en beoordeeld. Workshops vergroten de betrokkenheid van de deelnemers en hun verantwoordelijkheidsgevoel voor risico’s en risicobeheersing. Dit bevordert de cultuur ten aanzien van operationeel risicomanagement. Ook is in deze fase operationeel risicomanagement verder geïnstitutionaliseerd door de uitrol van nieuwe soft ware, waarin processen, risico’s en beheersingsmaatregelen vastliggen en worden bewaakt, en door instelling van een Risk Committee, dat minimaal eens per kwartaal bijeen komt.
In het kader van de reflectie in de tweede cirkel van het actieonderzoek is nogmaals de houding ten aanzien van risicomanagement gepeild. In de tweede Q-sort werden grotendeels andere stellingen voorgelegd dan in de eerste Q-sort. Het doel is namelijk niet om een hertest uit te voeren naar de betrouwbaarheid van een eerdere meting. Het is inherent aan actieonderzoek dat de uitkomst verandert, mede vanuit het besef dat een meting een interventie is. Uit de eerste Q-sort werd duidelijk dat het bewustzijn van nut en noodzaak van risicomanagement in ruime mate aanwezig is. In de tweede Q-sort zijn stellingen voorgelegd over de rol van de afdeling Risk Management, de visie op controle en de impact van risico- en procesbeheersing op ondernemerschap en innovatie. Ook komen de stellingen terug uit de eerste Q-sort die kenmerkend zijn voor de drie gevonden visies. Bij analyse van de resultaten bleek de relatie tussen risicomanagement en innovatie door de respondenten niet als zeer onderscheidend opgepakt te zijn. Dit zijn de (wederom drie) gevonden visies:
Visie 1: voorkeur voor bottom-up en decentrale implementatie van risicomanagement
Degenen die deze visie aanhangen, nemen zelf de verantwoordelijkheid voor risicomanagement op zich en zien voor een afdeling Risk Management een rol op de achtergrond, vooral ter ondersteuning en advisering. Verantwoordelijkheid moet laag in de organisatie worden gelegd en controle is een noodzakelijk kwaad.
Visie 2: voorkeur voor top-down en centraal gecoördineerde implementatie van risicomanagement
Deze groep geeft de voorkeur aan centrale sturing. Het is goed als door een afdeling Risk Management duidelijke kaders worden gegeven en eisen worden gesteld. Controle is onmisbaar.
Visie 3: focus op extern imago bij aandeelhouders en klanten
Deze groep vertoont sterke overeenkomsten met visie 3 in de eerste Q-sort. Deze groep heeft geen onderscheidende mening over controle en over centrale of decentrale implementatie van risicomanagement.
Bij wijze van hypothese is aan de respondenten van de tweede Q-sort tenslotte figuur 2 voorgelegd, die de relatie weergeeft tussen operationeel risicomanagement en toegevoegde waarde. Toegevoegde waarde is positief als de baten van operationele risicobeheersing (bijvoorbeeld betere efficiency, kwaliteit, minder fouten en minder gemiste kansen) hoger zijn dan de kosten ervan. Bij punt A is compliance bereikt. Dit is een minimumeis, die geen toegevoegde waarde levert, maar een noodzakelijke voorwaarde is voor het bestaan van de onderneming. Voorbij punt B slaat risicobeheersing te ver door. De marginale kosten van risicobeheersing worden hoger dan de marginale opbrengsten. Voorbij punt C is de toegevoegde waarde van risicomanagement negatief. Alle risico’s zijn geëlimineerd, alle processen kloppen, maar de kosten van risicobeheersing zijn enorm en het ondernemerschap is verloren gegaan.
In figuur 2 is aangegeven hoeveel respondenten de onderneming op welk deel van de curve positioneren. Breed wordt erkend dat risicomanagement toegevoegde waarde biedt en dat er nog ruimte is voor verdere beheersing. Het punt waarop er meer risicobeheersing plaatsvindt dan goed is voor de onderneming, is nog niet bereikt. Slechts op enkele deelaspecten wordt aangegeven dat de beheersing meer eisen stelt dan noodzakelijk en de snelheid van handelen beperkt.
Fig.2. Relatie tussen mate van operationeel risicomanagement en toegevoegde waarde.
5. Conclusies
Operationeel risicomanagement is een essentieel onderdeel van goed ondernemerschap. Hoe meer het operationeel risicomanagementbeleid en het ondernemingsbeleid op elkaar worden afgestemd of nog beter, hoe meer het operationeel risicomanagementbeleid in het ondernemingsbeleid is geïntegreerd, hoe effectiever het is. De manier waarop beslissingen tot stand komen, afspraken met klanten en leveranciers worden gemaakt en medewerkers worden opgeleid, moeten in overeenstemming zijn met het beleid ten aanzien van operationeel risico.
Operationeel risicomanagement is hier benaderd vanuit het perspectief van het verzekeringsbedrijf met de vraag op welke wijze operationeel risicomanagement toegevoegde waarde kan hebben voor de onderneming. Dat wil zeggen dat niet alleen wordt voldaan aan de eisen van regelgevers en toezichthouders, maar dat ook de kwaliteit van de bedrijfsvoering wordt verbeterd en de concurrentiepositie wordt versterkt, bijvoorbeeld door een efficiëntere aanwending van het vermogen. Voor de implementatie van operationeel risicomanagement is actieonderzoek ingezet als middel voor organisatieontwikkeling. Dat lukt niet door de introductie van overlegstructuren, rapportages en softwareapplicaties alleen. Er is daarom ook veel aandacht besteed aan de beleving van risico en risicobeheersing in de onderneming.
In dit onderzoek werden vier fasen zichtbaar bij de ontwikkeling van operationeel risicomanagement. Daarmee is niet gezegd dat alle ondernemingen hetzelfde proces moeten of zullen doormaken. Het is goed mogelijk dat er verschillende startpunten zijn en verschillende wegen die naar hetzelfde doel leiden. Voor een duurzame verankering van risicomanagement in de organisatie, is de reis die de onderneming aflegt vrijwel net zo belangrijk als de eindbestemming. Risicomanagement behoort tot de grootste uitdagingen voor ondernemingen. De risico’s die samenhangen met bedreigingen moeten worden beheerst, zodanig dat de kans dat het risico zich voordoet wordt verkleind en als dat toch gebeurt, dat de impact daarvan kleiner is. De kans dat een ‘business opportunity’ zich voordoet en het mogelijke voordeel daaruit, moeten worden gemaximaliseerd. Het gaat erom de juiste balans tussen risico en opbrengst te vinden. De taak van de risicomanager is dan ook niet risicobeperking, maar het bevorderen dat risico’s bewust worden genomen. Eigenlijk moeten we terug naar de oorspronkelijke betekenis van het woord risico, dat afkomstig is van het vroeg-Italiaanse ‘risicare’ en dat durven betekent (Bernstein, 1996). Risico is dan een keuze en niet iets dat je overkomt.
Een te sterke nadruk op het risico dat (nieuwe) ondernemingsactiviteiten met zich mee brengt en op het beperken van risico kan verlammend op een organisatie werken. Het zal dan moeilijk zijn voldoende aandacht voor operationeel risicomanagement ook op langere termijn vast te houden. Benadrukt moet worden dat de beheersing van operationele risico’s meer zekerheid geeft ten aanzien van het realiseren van de ondernemingsdoelstellingen en kansen biedt met betrekking tot een beter imago, meer tevreden klanten, een groter behoud van klanten, meer verkoop, marktaandeel en winstgevendheid. Het echte voordeel is te behalen in het benutten van deze kansen. Daarmee is operationeel risicomanagement een breder onderwerp dan het voldoen aan regelgeving en aan de wensen van toezichthouders.
Operationeel risicomanagement kent ook beperkingen. Om te beginnen is operationeel risicomanagement geen garantie dat de onderneming niet failliet gaat. Zonder risicobeheersing zal faillissement zich waarschijnlijk sneller aandienen, maar ook met effectieve risicobeheersing is niet gezegd dat alle doelstellingen altijd worden gerealiseerd. De toekomst is onzeker, niet alle gebeurtenissen zijn te voorzien en niet alles gebeurt zoals tevoren bedacht.
Totale operationele risicobeheersing kost meer dan het oplevert. De uitdaging is een zodanige balans te vinden dat de toegevoegde waarde van risicomanagement maximaal is en dat betekent niet maximale risicobeperking. Volledige beheersing is een mythe en daarom is dit zeker geen pleidooi voor een ‘auditexplosie’. Als alle risico’s worden geëlimineerd, treedt fatale verlamming op. Als alle processen kloppen en alle controlemaatregelen worden uitgevoerd, maar er geen ondernemerschap meer is, dat wil zeggen geen risico meer wordt genomen, gaat de onderneming ‘in schoonheid ten onder’. Meer is niet altijd beter.
Ridder, W. de (2007) Operationeel risicomanagement: meer dan alleen compliance.Maandblad voor Accountancy en Bedrijfseconomie 81(4): 138-145. doi: 10.5117/mab.81.16324
Literatuur
Alexander, C. (2003) Operational risk: regulation, analysis and management, Financial Times Prentice Hall, London.
Basel Committee on Banking Supervision (2001) Working Paper on the Regulatory Treatment of Operational Risk, Bank for International Settlements, Basel.
Basel Committee on Banking Supervision (2005) International Convergence of Capital Measurements and Capital Standards: a revised Framework, Bank for International Settlements, Basel (first published June 2004, updated November 2005).
Bernstein, P.L. (1996) Against the gods. The remarkable story of risk, Wiley, New York.
Brown, S.R. (1996) Q Methodology and Qualitative Research, Qualitative Health Research, 1996 (November), vol. 6, no. 4, pp. 561-567.
Chorafas, D.N. (2004) Operational Risk Control Business Opportunity and Challenges for the Insurance Industry, in: The Geneva Papers on Risk and Insurance, Vol. 29, No. 1 (January 2004), The International Association for the Study of Insurance Economics, Blackwell Publishing, Oxford.
Commissie corporate governance (2003) De Nederlandse corporate governance code. Beginselen van deugdelijk ondernemingsbestuur en beste practice bepalingen, http://www.corpgov.nl.
COSO, The Committee of Sponsoring Organizations of the Treadway Commission (2004), Enterprise Risk Management – Integrated Framework, http://www.coso.org.
Emanuels, J.A. en W.G. de Munnik (2006) Enterprise Risk Management; een risicobeheersingssysteem voor organisaties, Maandblad voor Accountancy en Bedrijfseconomie, jg. 80, nr. 6, pp. 294-299.
Hoffman, D.G. (2002) Managing operational risk: 20 firmwide best practice strategies, Wiley, New York.
Leenaars, J.J.A. (2003) Risicomanagement van banken, Maandblad voor Accountancy en Bedrijfseconomie, jg. 77, nr. 7/8, pp. 340-347.
Reason, P. en H. Bradbury (ed.) (2001) Handbook of Action Research. Participative Inquiry and Practice, Sage, London.
Ridder, W.P. de (2006) Risicobeheersing met toegevoegde waarde. Een actieonderzoek naar de introductie van operationeel risicomanagement in een verzekeringsbedrijf, proefschrift, http://www.wpderidder.nl.
Risk Books (2003) Advances in Operational Risk. Firm-wide Issues for Financial Institutions, Risk Books, London.
Simon, B. (2004) Operational risk management, a view from the mill, in: Banking and Finance, vol. 15, no. 5 (oktober/november), pp. 95-99.
Simons, R. (2000) Performance Measurement and Control Systems for Implementing Strategy, Prentice-Hall, London.
Stephenson, W. (1953) The Study of Behavior. Q-Technique and its Methodology, University of Chicago Press, Chicago.
*Bij het schrijven van zijn artikel is hij operationeel risicomanager bij AEGON. Hij studeerde bedrijfseconomie aan de Erasmus Universiteit Rotterdam en promoveerde oktober 2006 aan de Universiteit van Tilburg op een onderzoek naar de introductie van operationeel risicomanagement. Dit artikel is gebaseerd op zijn dissertatie. Hij is op het moment van schrijven directeur Futures Studies | Futuroloog | Spreker | Auteur | Strategieconsultant.
Dit essay is met instemming van de auteur opgenomen in het e-boekPubliek Risico: Essays. Het is oorspronkelijk gepubliceerd door MAB in april 2007.
Waarom faalt het overheidsbeleid (bijna) altijd? Een pleidooi voor het accepteren van onvolmaaktheid en bescheidenheid van bestuurders, politici, ambtenaren en burgers. Met de beste bedoelingen zijn de afgelopen decennia vele wetten en lagere regelgeving aangenomen en bijbehorende beleidsuitvoeringssystemen in stelling gebracht… We hebben inmiddels zoveel wetten en regels dat de capaciteit ontbreekt om ze allemaal te handhaven. De rechterlijke macht kan alle rechtszaken die in een rechtsstaat nu eenmaal kunnen volgen op overheidsbesluiten (die ingrijpen op rechten) niet meer aan. Lees meer
Business leaders around the world are currently addressing not only economic volatility, geopolitical instability, and the lingering effects of the COVID-19 pandemic but also a range of organizational shifts that have significant implications for structures, processes, and people. The shifts include complex questions about how to organize for speed to shore up resilience, find the right balance between in-person and remote work models, address employees’ declining mental health, and build new institutional capabilities at a time of rapid technological change, among others.
To help CEOs and their leadership teams consider such questions, we have launched McKinsey’s The State of Organizations 2023 report. The report is an account of an ongoing research initiative that seeks both to pinpoint the most important shifts that organizations are grappling with and to provide some ideas and suggestions about how to approach them.
In deze reeks ‘Governance in gevaar’ zijn persoonlijkheden van bestuurders en toezichthouders beschreven, die een risico kunnen vormen voor de organisatie die zij leiden. Ook met voorzitters kan een organisatie risico lopen. In dit artikel beschrijft de auteur gevaarlijke combinaties van voorzitters.
Het goed functioneren van de as van de voorzitter van de Raad van Bestuur (RvB) en de voorzitter van de Raad van Toezicht (RvT)/ Raad van Commissarissen (RvC) is een belangrijke voorwaarde voor goede governance. Omgekeerd is het dus een groot governance risico als er iets mis is met die as. Ik zie een aantal gevaarlijke combinaties.
Koningskoppel
Het koningskoppel is het eerste gevaar. Beide voorzitters zijn zo met elkaar vertrouwd en hebben zulke gelijke opvattingen dat ze in een kokervisie komen. De rest van het bestuur en van het toezicht komt daar niet tussen en kan die visie onvoldoende beïnvloeden. Of vindt het wel best zo en kijkt vol bewondering naar deze twee helden.
Zo’n koningskoppel vormden Pieter Bouw en Elmer Mulder bij het VUMC volgens het recent verschenen onderzoeksrapport. Ad Scheepbouwer en Paul Smits vormden bij het Maasstad Ziekenhuis ook zo’n koningskoppel. Frits Brink en Elco Brinkman bij Philadelphia zijn eveneens een klassiek voorbeeld.
Koningskoppels denken groot en willen steeds vooruit. Ze zijn niet geïnteresseerd in details en laten het ‘gedoe’ in de organisatie graag aan anderen over.
Meester en knecht
De situatie bij Douwe Egberts is een voorbeeld van meester en knecht. Niet de voorzitter van de RvB/CEO is de sterke man, maar de voorzitter van de RvC. Jan Bennink maakt de dienst uit en is bedenker van het nieuwe DE en de verzelfstandiging vanuit Sara Lee. Hij heeft er met Michel Herkemij een uitvoerder bij gezocht. Als die uitvoerder niet snel genoeg gaat, dan neemt de meester het over. Ad Scheepbouwer heeft bij KPN met een andere Paul Smits datzelfde spel gespeeld. Jean Paul Votron mocht bij Fortis de rol van knecht van Maurice graaf Lippens spelen. In zekere zin was Karel Vuursteen de knecht van Freddy Heineken.
In de meester-knecht-relatie is het ook heel gewoon dat een toezichthouder het bestuur overneemt als er een probleem is met de RvB. Ik vind dat principieel onjuist en het is strijdig met de Governancecode (althans die van de zorg), maar toch gebeurt het regelmatig. Dit jaar alleen al bij Maasstad, Franciscus Roosendaal en Waterland in Purmerend. Dat zijn de zichtbare gevallen waarin de toezichthouder het beter weet, maar verscholen zijn er meer situaties waar de voorzitter van de RvT en niet de RvB de dienst uitmaakt.
Popstar en fan
De omgekeerde verhouding komt veel vaker voor. Ik noem die de popstar en fan combinatie. De voorzitter van de RvB is dominant en door iedereen hoog op het schild gehesen. Hij is onmisbaar en iedereen kijkt naar hem op, ook de voorzitter van de RvC/RvT.
Cees van der Hoeven van Ahold was een popstar en Hennie Ruiter (president-commissaris) zijn fan, zo niet zijn groupie. Ruiter heeft openlijk gezegd dat Van der Hoeven onmisbaar was en dat hij hem het liefste wilde klonen. Dat was drie maanden voor de val van Van der Hoeven. Eric Staal van Vestia was zo’n popstar, de RvC wisselde zo snel dat we niet eens de namen van zijn fans weten. Kennelijk kreeg Bert Molenkamp van Amarantis ook de status van popstar met Koos Jansen als fan. Popstar Johan van Praet van Aveleijn kreeg van zijn fans in de RvT een hypotheek omdat hij onmisbaar was. Ludo Janssen van Orbis werd door iedereen bewonderd totdat het ziekenhuis veel te duur bleek te zijn.
Combinatie als risico
Deze drie combinaties van voorzitters zijn gevaarlijk voor de continuïteit van de organisatie. De andere bestuurders komen er niet aan te pas en zijn vervangbare hulptroepen voor de helden. De rest van de toezichthouders speelt geen rol of gaat mee in de adoratie. Soms worden zelfs bewust zwakke toezichthouders gezocht, zoals bij Vestia.
In al deze situaties gaat het een tijdje goed en lijken de bomen tot in de hemel te groeien. Daarna stort het kaartenhuis in en blijkt er grote schade voor de organisatie en vaak grote maatschappelijke schade. Wees daarom kritisch op de goden in bestuur en toezicht. Zij blijken soms onterecht aanbeden afgoden te zijn.
Disclaimer
‘Governance in gevaar? (3)’ bevat enigszins karikaturale beschrijvingen van bestuurders waarmee een organisatie risico loopt. Net als in films en romans geldt dat iedere overeenkomst of gelijkenis met bestaande personen berust op zuiver toeval. De auteur kan niet verantwoordelijk worden gesteld voor de parallellen die de lezer ziet tussen de karikatuur en de mensen in de omgeving van de lezer.
In de tekst wordt steeds de mannelijke vorm gehanteerd. De beschrijvingen kunnen uiteraard ook op vrouwelijke bestuurders betrekking hebben, hoewel sommige beschrijvingen getuigen van masculien gedrag dat bij vrouwen minder voorkomt. De auteur laat het graag aan de lezer over te bepalen of de beschrijvingen met mannelijke of vrouwelijke eigenschappen te maken hebben.
*Dr. ir. Hans Hoek is directeur van C3 adviseurs en managers te Leusden. Hij richt zich in zijn adviespraktijk vooral op samenwerking en governance. Op dat laatste onderwerp is hij in 2007 gepromoveerd.
Deze publicatie is in september 2010 geschreven voor zorgmarkt.net. Het essay is opgenomen in de bundel Publiek Risico: Essays in 2020 en gepubliceerd met instemming van de auteur.
Frank van Kuijck en Rein-Aart van Vugt | Deloitte, 2010
De rol die gemeenten en provincies (hierna gemeenten) in onze samenleving innemen, is gecompliceerd. Dat kun je zien aan het aantal relaties dat gemeenten hebben. Denk bijvoorbeeld aan de partijen die betrokken zijn bij de ontwikkeling van een project.
De complexiteit wordt ook gecreëerd door de extra taken en vernieuwingen waar gemeenten in de voorbije jaren mee te maken hebben gekregen, zoals de Wet Maatschappelijke Ondersteuning, Wet op de grondexploitaties of wijziging Wet ruimtelijke ordening.
Voor de komende jaren staan er bovendien nog een aantal decentralisaties van taken van de Rijksoverheid en provincies naar de gemeenten voor de deur. En dan is daar de krediet-, Euro- en economische crisis nog bovenop gekomen.
Deze situatie levert tal van uitdagingen en kansen op. Het vraagt om een fris en dynamisch lokaal bestuur en aanpassing van en bezinning op de gebaande paden en de toekomst. Politiek leiderschap staat nu centraal en heeft als belangrijk fundament adequaat toegepast risicomanagement.
Een verplichting?
Sinds de invoering van het Besluit Begroting en Verantwoording (BBV) in 2004 zijn gemeenten verplicht verantwoording af te leggen rondom een aantal belangrijke thema’s. Gemeenten moeten onder meer aandacht besteden aan het weerstandsvermogen, de inventarisatie van de risico’s en het beleid rondom risico’s en weerstandscapaciteit. Dit vraagt om een dynamisch en permanent aanwezig systeem van risicomanagement, omdat de weergave (tenminste) bij zowel de begroting als de jaarstukken moet worden gepresenteerd. De doelstelling van de wetgever is het permanent verkrijgen van een beter inzicht in de financiële positie.
De worsteling
Na de invoering van het BBV worstelden gemeenten met het vormgeven van de verplichtingen vanuit de paragraaf weerstandsvermogen. Geluiden die klonken, waren:
We kunnen toch niet alles voorzien, we hebben geen glazen bol.
Veel risico’s zijn niet te kwantificeren.
Wie moet nu wat doen in het gehele proces en is verantwoordelijk voor het bewaken van de risico’s?
Risicomanagement is iets van financiën in relatie tot de verslaggeving, de, lijnmanagers moeten vooral bezig zijn met het realiseren van beleid en activiteiten.
Het op zoek gaan naar risico’s en het treffen van maatregelen zorgt eerder voor verlamming dan dat het zorgt voor versnelling.
Wat moet de omvang zijn van het weerstandsvermogen?
Weer iets nieuws.
Het zijn allemaal relevante opmerkingen en vragen. Toch bieden risico-inventarisaties ook veel antwoorden. Hoewel veelal nog financieel getint geven risico-inventarisaties prioriteit aan de berekening van een gekwantificeerd risico binnen een bepaalde bandbreedte. Dat biedt een bemoedigende start. Bovendien, wanneer een organisatie zich in een vroeg stadium bewust is van de risico’s en de noodzaak ziet hierop te reageren, dan is een groot deel van de winst al binnen. Het draait dus om gedrag, bewustzijn en reageren. Echter, gedrag beïnvloeden is een lastige taak. We doen hieronder een aantal handreikingen.
In het BBV staat een aantal begrippen centraal
Risico’s. Een kans op een gebeurtenis die een (negatief dan wel positief) effect heeft op de continuïteit van de bedrijfsvoering en het realiseren van de doelstellingen van de organisatie.
Beheersmaatregelen. Het stelsel van maatregelen en procedures die worden genomen om de onderkende risico’s te ondervangen dan wel om opkomende risico’s te signaleren en het effect hiervan te beperken.
Weerstandscapaciteit. Het geheel van middelen en mogelijkheden om niet begrote, onvoorziene en (mogelijk) substantiële kosten te dekken. Deze capaciteit kan zowel incidenteel alsook structureel zijn.
Weerstandsvermogen. De mate waarin de financiële tegenvallers kunnen worden opgevangen. Hierbij wordt de capaciteit afgezet tegen de risico’s die worden gelopen.
Risicomanagement. Het identificeren en kwantificeren van risico’s en het bepalen van activiteiten die de kans van optreden en/of de gevolgen van risico’s beheersbaar houdt.
Een eenduidige en logische zaak
Wil je vooruit komen en kansen benutten dan gaan onzekerheden en risico’s hierbij gepaard. Belangrijk is dat alle partijen dit erkennen en daar op anticiperen. Dat betekent risico’s tijdig signaleren, maatregelen treffen, leren van nieuwe omstandigheden en zorgen dat ons gedrag evolueert. Het is daarbij cruciaal dat er tussen gemeenteraad, college en het ambtelijk apparaat duidelijke afspraken en verantwoordingslijnen bestaan over de verschillende fasen van het proces van risicomanagement.
Good governance
Daarnaast komt good governance om de hoek kijken. Dat draait om relaties en spelregels. Het gaat om vier pijlers.
Sturen. Is duidelijk geformuleerd wat het risicoprofiel is wat de gemeenteraad wenst te accepteren en hoe zij geïnformeerd wenst te worden over de ontwikkeling hiervan?
Beheersen. Welke maatregelen heeft het college en de ambtelijke top getroffen om identificatie van risico’s mogelijk te maken, in te spelen op de risico’s door het treffen van beheersmaatregelen en alert te zijn op veranderingen?
Verantwoorden. Op welke wijze en met welke periodiciteit wordt inzicht gegeven in de ontwikkeling van de risico’s, de effecten van de maatregelen, effect van niet voorziene risico’s, doelbereik en het werken binnen de gestelde kaders?
Toezicht houden. Nagaan of het systeem van risicomanagement effectief (en efficiënt) is.
Uiteindelijk doel
De reden dat gemeenten risico’s in kaart willen brengen, is om uiteindelijk maatschappelijke doelstellingen te realiseren. Door het kwantificeren van de risico’s krijg je inzicht in de financiële polsstok voor het aangaan van (nieuwe) activiteiten en het analyseren van de ontwikkelingen. Daarnaast moet het de risico’s beperken, zodat de doelstellingen binnen een acceptabel risicoprofiel worden gerealiseerd. Dan ontstaat de adaptieve organisatie in optima forma.
Belangrijk is dat een gemeente weet te reageren op nieuwe situaties die zijn ontstaan door gewijzigde activiteiten, zoals een nieuwe samenwerking, verandering van wetgeving, aanpassing van contracten of uitvoering van (nieuw) beleid, maar zeker ook de gewijzigde externe verslechterde (markt-) omstandigheden in de vastgoedsector (huizen- en bedrijfspandenmarkt) en de gevolgen van de economische crisis.
Dat betekent het erkennen van de risico’s en het treffen van adequate maatregelen. Het is dan van belang een mix te hebben in hard controls en soft controls. Hard controls zijn het beste te omschrijven als meetbare afspraken en richtlijnen waarvan wordt vastgesteld dat deze nageleefd zijn. Het meten gebeurt vaak objectief, omdat het afgesproken spelregels zijn binnen een organisatie. Soft controls zijn te zien als een beheersingsmaatregel dat ingrijpt op c.q. appelleert aan het persoonlijk functioneren van de medewerkers.
Deze maatregelen zijn van invloed op motivatie, loyaliteit, integriteit, inspiratie en normen en waarden van medewerkers. Een goede balans tussen de beide typen resulteert in een ‘perfect match’.
Duidelijke werkwijze en draagvlak
Naast een duidelijk en herkenbaar proces van risicomanagement, een adequate governance-cyclus en een goede mix van hard- en soft controls zijn belangrijke overige ingrediënten voor een goede implementatie, duidelijke werkwijze en draagvlak. We hebben nog enkele waardevolle tips:
Zoek een risicomanagementmethode die bij uw organisatie past.
Zorg dat medewerkers in de lijnorganisatie verantwoordelijk worden gemaakt voor het inschatten van, beheersen van en verantwoording afleggen over risico’s. Draagvlak van vooral de directie en het college van burgemeester en wethouders voor het concept zijn hierbij onontbeerlijk.
Organiseer een kennissessie waar het onderwerp verder uitgediept wordt en de toegevoegde waarde inzichtelijk wordt gemaakt.
Begin eenvoudig met bijvoorbeeld een pilot.
Een essentiële basis voor draagvlak is een voldoende robuuste projectorganisatie.
Als laatste raden we aan om de belasting van de organisatie zoveel mogelijk te beperken en aan te laten sluiten bij reeds bestaande initiatieven, concepten en systemen
Tot slot
Het serieus invullen van risicomanagement is geen optelsom van de risico’s. Risicomanagement is daarnaast meer dan het financieel kwantificeren en identificeren van risico’s. En het is geen statische eenmalige exercitie. Het is een belangrijke driver voor het realiseren van doelstellingen, het benutten van kansen en de ontwikkeling van een organisatie.
Wanneer men uitgaat van de eigen kracht en observaties, blijft de organisatie alert en de instrumenten en werkmethoden actueel. Bovendien creëert deze manier van werken vertrouwen en transparantie zeker in deze turbulente en moeilijke financiële tijden. Het gaat om het maken van keuzes. Dat is leiderschap.
Dit essay is met instemming van de auteurs opgenomen in het e-boekPubliek Risico: Essays.
