Jos Moerkamp | B&G Magazine, oktober 2006

Interview met Dr. Lynn Drennan, directeur van ALARM, over risicomanagement

Hét Europese voorbeeld van goed ontwikkeld risicomanagement in de publieke sector is Groot-Brittannië. In het land waar je je tegen nagenoeg alles kunt verzekeren, blijken overheden en andere publieke organisaties veel te doen aan het elimineren en beperken van risico’s. ALARM (Association of Local Authority Risk Managers) is uitgegroeid tot een nationaal forum voor risicomanagement in de publieke sector, met ruim 1800 deelnemende organisaties. Een gesprek met dr. Lynn Drennan, chief executive van ALARM.

De invoering van de verplichte risicoparagraaf in de Comptabiliteitsvoorschriften 1995 was de eerste stap die gezet werd naar een betere bewustwording bij de decentrale overheden van de risico’s die zij lopen bij hun doen en laten.

Sinds de invoering van het Besluit Begroting en Verantwoording in 2004 dienen risico’s structureel punt van aandacht te zijn. Er moet nu beleid worden vastgesteld hoe met risico’s en risicomanagement wordt omgegaan. En er moet weerstandsvermogen aanwezig zijn om de financiële gevolgen van opgetreden risico’s op te vangen. In de praktijk blijken veel decentrale overheden met deze materie te worstelen.

Een goede beheersing van risico’s is onderdeel van een professioneel werkende overheid. Daar hoort ook duidelijke regelgeving rond bestuur, toezicht, verantwoording en transparantie bij. Zaken, die in het bedrijfsleven zijn vertaald in governancecodes. Voor de overheid is hier nog veel te winnen. De lange geschiedenis van het Verenigd Koninkrijk op het gebied van corporate governance heeft zijn weerslag op het niveau van risicomanagement bij de overheden daar. Bij risicomanagement gaat het misschien wel vooral om de reputatie van overheden, aldus Lynn Drennan van de vereniging van Risk Managers ALARM.

Ze is pas sinds augustus dit jaar in functie, maar Lynn Drennan is al jarenlang actief op het gebied van risicomanagement. Ze was verbonden aan de Glasgow Caledonian University, ‘de enige universiteit in Europa die opleidt tot een universitaire graad in risicomanagement, zegt Drennan. ‘En dat al sinds 1982. Veel van onze graduates werken nu als risk managers in het bedrijfsleven, bij consultants als Marsh en Aon en bij publieke organisaties.’

Groot-Brittannië wordt gezien als pionier op het gebied van risicomanagement in de publieke sector. Deelt u die mening?

Drennan: ‘Zeker. Risicomanagement heeft hier een geschiedenis van zo’n drie decennia. Aanvankelijk was het een aangelegenheid van de private sector. Maar toen bedrijfsmatige concepten vanuit het bedrijfsleven in de jaren tachtig oversloegen naar de overheid, vatte ook het concept risicomanagement daar post. Dat leidde uiteindelijk tot de oprichting van ALARM. Sommige leden waren dus al betrokken bij de enige risicomanagementorganisatie die toen bestond. Vanwege gemeenschappelijke vraagstukken, afwijkend van vraagstukken in het bedrijfsleven, ontstond de behoefte aan een eigen organisatie. Zo is ALARM begonnen.’

Waarom is risicomanagement in de Britse publieke sector verder ontwikkeld dan elders in Europa? Ook in Nederland sloegen in de jaren tachtig bedrijfsmatige concepten over naar de overheid.

Drennan: ‘Ik denk dat een aantal factoren een rol spelen. Allereerst kent Groot-Brittannië een lange geschiedenis van corporate governance. Het ‘Cadbury Report’ van 1992 vormt het vertrekpunt. Weliswaar was dat rapport vooral bedoeld voor beursgenoteerde ondernemingen, maar de ideeën werden al snel overgenomen door publieke organisaties. Sneller dan in andere Europese landen (De Nederlandse corporate governance code dateert van 2004, red.).

De boodschap van corporate governance is dat de chief executive officers van organisaties verantwoordelijkheid dragen voor álle risico’s waarmee hun organisaties te maken hebben of krijgen. Die verantwoordelijkheid verplicht tot het effectief identificeren, evalueren, wegnemen of verminderen en afwegen van risico’s. De ideeën over corporate governance hebben er aanzienlijk toe bijgedragen dat risicomanagement op de agenda kwam, ook in de publieke sector.

Daarnaast hadden wij een nationale regering die de nadruk legde op doelmatig en doeltreffend gebruik van publieke middelen. Ik weet dat die boodschap nu overal wordt verkondigd, maar onze regering was er vroeg mee. Dat zware accent op effectiviteit en efficiency is de tweede sleutel die de focus legt op risicomanagement. Want hoe kun je de beste diensten verlenen tegen de beste prijzen als je niet kijkt naar de potentiële gevaren of bottlenecks die je van die prestaties weerhouden? Deze oorzaak voor de ontwikkeling van risicomanagement is met name in de publieke sector zeer invloedrijk geweest.

Verder wil ik graag de groeiende claimcultuur als aanleiding noemen. Ook daarin wijkt Groot-Brittannië denk ik af van andere Europese landen. Veel gemeenten hadden last van frauduleuze claims. Individuen die valse of overdreven schadeclaims indienden, omdat ze bijvoorbeeld vielen over losliggende stoeptegels. Aanvankelijk werden dergelijke claims doorgaans gehonoreerd. Als je naar de afzonderlijke bedragen keek stelde het immers niet zoveel voor en het was zo’n gedoe om er een zaak van te maken. Maar naarmate het aantal en de hoogte toenamen, werden gemeenten doortastender. Ze gingen zaken daadwerkelijk onderzoeken en zich verdedigen tegen aantijgingen. Aan de andere kant gingen gemeenten ook beter letten op mogelijke risico’s, voor zowel het publiek als de eigen medewerkers.

Ook die ontwikkeling droeg bij aan het volwassen worden van risicomanagement. Ik weet dat gemeenten vele tonnen aan schadeuitkeringen hebben weten te besparen. Tot slot is er misschien een cultuurhistorische component. In Groot-Brittannië benaderen we risico’s traditioneel vanuit twee invalshoeken. De eerste is verzekeren: waar koop ik de goedkoopste polis om mijn risico te dekken? De tweede is het besef dat het misschien handiger is om risico’s te verkleinen of weg te nemen, dat verzekeren niet altijd het enig mogelijke antwoord is.’

Groot-Brittanië: goed ontwikkeld risicomanagement in de publieke sector

Kunt u uitleggen hoe je ervoor zorgt dat risicomanagement over meer gaat dan beheersing van financiële middelen? Want dat is in Nederland al een sterk ontwikkelde discipline.

Drennan: ‘Bij risicomanagement in publieke organisaties gaat – misschien zelfs wel in de eerste plaats – om de reputatie van organisaties. Die bepaalt immers de kwaliteit van de democratie. Voor gemeentelijke organisaties is de relatie met de lokale gemeenschap van doorslaggevend belang.

Thema’s die angst of onrust kunnen veroorzaken, moeten met de grootst mogelijke zorgvuldigheid worden aangepakt. Denk aan onderwerpen als het sluiten van een ziekenhuis of een school. Of het aanleggen van een nieuwe weg. Of een windmolenpark, dat volgens een deel van de gemeenschap het landschap aantast. Het gaat hier om politieke keuzen, met voor- en tegenstanders en met voor- en nadelen.

Om het besluitvormingsproces goed te kunnen doen, moet je de risico’s die daar bijhoren goed managen. Zo is het belangrijk om heel goed met de gemeenschap te communiceren. In feite ben je dan al bezig met risicomanagement: het managen van de risico’s van politieke besluitvorming. “Als we dit besluit nemen, wat zijn dan de waarschijnlijke gevolgen? De waarschijnlijke reacties van delen van het publiek? Wat zullen onze eigen medewerkers ervan vinden?” Vervolgens zoek je strategieën om die risico’s zo goed mogelijk managen. Je weet dat je nooit iedereen tevreden stelt, dat is inherent aan politieke besluitvorming. Maar door te doordenken hoe verschillende stakeholders zullen reageren, kun je wel van tevoren bedenken hoe met die reacties om te gaan, in plaats van je erdoor te laten verrassen.

Ik geef toe: dit is een aanzienlijk moeilijker aspect van risicomanagement dan het calculeren van financiële risico’s. Ook in Groot-Brittannië moeten we op deze terreinen nog een behoorlijke slag maken. Het gaat niet alleen om het managen van fysieke risico’s, maar ook de strategische besluitvorming en de risico’s die daar het gevolg van zijn.’

Staat risicomanagement niet op gespannen voet met verandering? Worden publieke organisaties niet extreem voorzichtig als ze alle potentiële risico’s van tevoren inschatten?

‘Dat is absoluut een gevaar. Sommige mensen vinden nu al dat in de publieke sector de neiging heeft om risico’s zoveel mogelijk te vermijden. Dat is natuurlijk niet de bedoeling. Om vooruitgang te boeken, verandering en verbetering te bewerkstelligen, moeten we nu eenmaal risico’s nemen. Ook hele moeilijke beslissingen, waarvan je op voorhand weet dat je op veel weerstand zult stuiten. Dan mag je niet vanwege risicobeheersing besluiteloos worden.

Uitgangspunt moet zijn dat je nu eenmaal niet iedereen tevreden kunt stellen. Dus mogen we ons niet verschuilen achter argumenten als “we weten er nog niet genoeg van”, om vervolgens dus niets te doen. Publieke organisaties hebben de verantwoordelijkheid richting samenleving om goede diensten te leveren én om die diensten voortdurend te verbeteren. Zo’n initiatief tot verbetering – neem bijvoorbeeld elektronische dienstverlening – betekent per definitie dat je ook nieuwe potentiële risico’s inbrengt. Desondanks moet dergelijke vernieuwing natuurlijk doorgaan. Inclusief het inschatten van risico’s. In dit geval zul je bijvoorbeeld moeten nagaan wat elektronische dienstverlening betekent voor ouderen of voor mensen die geen toegang hebben tot internet. Om vervolgens strategieën te bedenken die dergelijke risico’s wegnemen of aanzienlijk verkleinen. Maar het inschatten van risico’s mag natuurlijk nooit tot de conclusie leiden dat je beter maar nooit aan iets nieuws kunt beginnen, omdat nieuwe dingen riskant zijn.’