Adriaan Bouwdewijn* | 2014
Het zijn waarnemingen van een betrokkene. Het wil niet vlotten met risicomanagement bij organisaties in het publieke domein. Met regelmaat verschijnen er artikelen, waarin op basis van onderzoek of inventarisatie uiteen wordt gezet dat risicomanagement een formaliteit lijkt te worden, een verplicht nummer, een papieren tijger, een exercitie voor de vorm. Op grond van ervaringen in mijn eigen organisatie en de verhalen die ik oppik bij bijeenkomsten van onder meer de rijksbrede benchmark, herken ik de conclusies van die onderzoeken wel.
Ik waag me niet aan verklaringen, ik ben een waarnemer en een goede luisteraar. En dan worden er toch interessante parallellen zichtbaar in hoe onze rijksdiensten, overheden en zbo’s gekomen zijn waar ze nu staan, en blijken de berichten niet al te uitbundig als het gaat om wat risicomanagement hun organisaties nu heeft gebracht.
Opvallend is de over het algemeen enthousiaste start, meestal naar aanleiding van eisen aan bijvoorbeeld verantwoording en standaarden zoals bijvoorbeeld VBTB (Van Beleidsbegroting Tot Beleidsverantwoording, red.) in vroeger tijden, Good Governance codes en een Code Goed Bestuur.
We richten een risicomanagementproces in conform COSO of GRC (Governance Risk Management and Compliance, red.), benoemen een risicomanager, zorgen voor taak/rolverdelingen, communicatielijn en state-of-the-art risk managementapplicaties of excel-tools. De top draagt uit dat risicomanagement een belangrijkeverantwoordelijkheid van management is, en de eerste cyclus wordt gestart. Na enkele jaren puilen de lijsten met ‘risico’s’ de kasten uit, is de schwung uit het spel en rest er een verplicht vullen van de risicoparagraaf in het jaarverslag.
Toch is er ook een perspectief. Het risicomanagement conform de ‘standaarden’ zakt dan wel in, maar het managen van risico’s lijkt een bewuster onderdeel in de bedrijfsvoering te zijn geworden. En of we met risicomanagement altijd hetzelfde bedoelen? De vlag dekt vaak heel verschillende ladingen.
Sinds begin 80-er jaren werk ik met SWOT-analyse en impactanalyses als essentiëleinstrumenten bij het nadenken over hoe strategische voornemens omgezet moeten worden naar inrichting van onze organisaties. Begin 90-er jaren kom ik in de ISO9000 norm ‘het identificeren van risico’ tegen, als stap die helpt om – na het specificeren van dienst of product, doelstellingen en het specificeren van het proces – te komen tot vormgeving van een passende interne beheersing. Anders dan in de eerdere SWOT-analyses, legt ISO een keiharde relatie tussen doelstelling en risico. Dat heeft ons aan betere taal geholpen; zonder doelstelling zijn er vele onzekerheden, maar onzekerheid wordt een risico als er potentieel schade aan de doelstelling op de loer ligt.
Het in kaart brengen van risico, als opstap naar goede bedrijfsvoering kennen we dus al wat langer. Sinds we ontdekken dat beweeglijkheid in markten, in consument- verwachtingen, stakeholdersposities en samenwerkingsrelaties toeneemt en een focus op langdurige stabilisatie van de bedrijfsvoering niet meer haalbaar is zonder een voortdurende feeling met dynamiek in de omgeving, krijgt inzicht in risico een groter belang. Het gaat niet om risico kennen, maar om het inzicht in risico’s regelmatig te ijken en te actualiseren en met die inzichten iets te doen. Steeds opnieuw tot alignment komen, de passende interne beheersing ten behoeve van doelrealisatie inrichten, op maat met de tolerantie die we jegens risico aandurven. Kunnen we een stootje hebben?
Van Karl Weick heb ik na het adaptief gedrag in organisaties, de high performance organisatie meegekregen. Risico-alertheid is een kenmerk van organisaties die in een beweeglijke omgeving steeds oog hebben voor weak signals. Zij herrichten hun organisaties op de mogelijke betekenis van deze signalen, zodat zij hun continuïteit in dienstverlening kunnen behouden door steeds opgewassen te zijn tegen situaties die schade aan de continuïteit zouden kunnen berokkenen. Snel kunnen omstellen en aanpassen, dat is het devies. Risicobewustzijn en op maat anticiperen op onderkend risico zijn de sleutelwoorden.
Bij het INK vind ik rond 2000 het volgende:
Het voortbestaan van adequate dienstverlening in het publieke domein is sterk afhankelijk van de geleverde ketenbijdrage en haar transformatievermogen (adaptatiekracht). Het is de taak van het management om beide vorm te geven. Het gaat er – naast beheersing van overeengekomen dienstverlening – ook om dat management actief, stelselmatig en met verdiepend inzicht bezig is de organisatie voortdurend en met succes aan te passen aan de eisen van de verandering, en de weerbaarheid en het weerstandsvermogen van de organisatie bewijsbaar toesnijdt op risico’s die kunnen optreden. Daartoe is een voortdurende toetsing, vanuit verschillende invalshoeken, van het eigen inzicht in de realiteit – die voortdurend aan verandering onderhevig is – noodzakelijk.
Zijn we in het publieke domein al zover? Gebruiken we een oriëntatie op risico behalve voor ontwerp en inrichting, ook voor het periodiek heroverwegen van de ‘fit’ tussen bewegingen en onze strategie, zich ontwikkelende patronen en de effectiviteit van onze inrichting en besturing? Is er al sprake van actief, stelselmatig management van risico’s?
De gemeenten worden vanaf januari 2014 naast de WMO, belast met de wet Langdurige Zorg en de Jeugdwet. Een ingrijpende transitie. Het lijkt erop dat de gemeenten, redenerende als beoogde budgetverstrekker voor deze dienstverlening aan de burger, met name een financieel risico hebben onderkend en als strategie hebben ingezet op het vermijden van dit risico door in te zetten op verhoging van het transitiebudget. In mei is deze strategie geëffectueerd in de vorm van verdubbeling van het transitiebudget. Maar is men het eigen inzicht in de realiteit blijven toetsen? Is er, met betrokkenheid van meer stakeholders dan louter de interne spelers zelf, verbredend en verdiepend inzicht opgebouwd in risico’s van de transitie en gezocht naar weerbaarheid van de gemeente-organisatie?
In de media is te lezen dat gemeenten te laat met het inrichtingsvraagstuk begonnen zijn. Dat vier maanden voor de ingangsdatum de helft van de gemeenten nog geen passend dienstverleningsproces heeft ingericht, vasthoudende aan de gekozen strategie van ‘vermijden’ van het financiële risico. Dat inmiddels meer dan 20 miljoen aan extern advies en ondersteuning is ingekocht omdat de gemeenten op eigen kracht de transitie niet meer tijdig kunnen maken. Dat het afwachten van de uitkomst van de inzet op meer budget heeft geleid tot uitstel in het aangaan van contracten met zorgleveranciers en deze organisaties in een zo grote continuïteitsonzekerheid zijn gekomen dat zij voor inmiddels 25.000 mensen het arbeidscontract hebben moeten beëindigen.
Voor de buitenstaander lijkt het er sterk op dat een voortdurende toetsing – vanuit verschillende invalshoeken – van het eigen inzicht in de realiteit in gemeenteland nog niet is verwezenlijkt. Vaak hoor ik van management dat zij de hele dag met managen van risico’s bezig zijn en geen noodzaak zien voor risicomanagement à la COSO of GRC. Op grond van de combinatie van managementprincipes standaardisatie en management by exceptions strijkt management de verstoringen, ruis en onzekerheden glad die tot verstoring van een stabiele dienstverlening zouden kunnen leiden.
Als je nog anders naar risico zou kunnen kijken, wat is dan het resultaat van dergelijke inspanningen: wat levert het me op? De veronderstelling dat toezichthouders vertrouwen zullen ontlenen aan het bestaan en de werking van een systematisch geheel van activiteiten gericht op identificatie van risico’s en het nemen en monitoren van maatregelen ter mitigering van deze risico’s levert ook weinig drive op.
De systematische inrichting, de bureaucratisering door zo’n opgelegd pandoer veroorzaakt terughoudendheid, als het meezit meedoen omdat het moet. Naar mijn ervaring kantelt deze stellingname zodra het gesprek over het nut van management van risico tot een perspectief leidt dat identificeren van en handelen naar risico’s het aantal exceptions pro-actief kan verkleinen en de organisatie weerbaarder en robuuster kan maken zodat exceptions minder verstoring teweeg brengen.
Het zit ‘m vooral in taal en gemeenschappelijk begrip van het waarom van het spelen van het risicospel. De taal vanuit de verantwoording geeft geen energie, de directe baat wordt niet begrepen. De zin van ‘voortdurende toetsing, vanuit verschillende invalshoeken, van het eigen inzicht in de realiteit’ wordt niet gezien omdat de stabiliteitsgedachte nog het overheersende ontwerpprincipe lijkt. Wordt het niet tijd voor investering in taal en inzichten in het nut van managen van risico vanuit zicht op baat voor de bedrijfsvoering, naast de taal die de noodzaak van systematisch risicomanagement ten behoeve van verantwoording en compliance aan standaarden duidelijk maakt?
Adriaan Bouwdewijn is in 2014 bedrijfskundige, senior internal auditor en facilitator Control Risk Self Assessment Uitvoeringsinstituut Werknemersverzekeringen (UWV), Amsterdam. Dit artikel is geschreven op persoonlijke titel.
Dit essay is opgenomen in het e-boek Publiek Risico: 100 Essays.
Foto © Louise Kruf