When it comes to addressing the world’s environmental crises, insurance may not be top of mind as a powerful or even potential solution. But with innovative thinking, insurance can be an essential part of a conservation toolkit to protect our world.
Eric Robert (TNC): “This is a very significant milestone in our climate risk reduction and management work where we use nature’s inherent capacity to protect coastal communities from the impacts of climate change and utilise innovative finance mechanisms, such as insurance, to inject private sector funds into ecosystem repair and restoration efforts.”
Inleiding
Alle ondernemingen lopen operationele risico’s, variërend van stormschade aan een gebouw, systeemstoringen en het vertrek van belangrijke medewerkers tot boekhoudfouten, interne/externe fraude en misleiding van aandeelhouders. Sinds beruchte schandalen bij ondernemingen als Barings, Enron, Worldcom, Parmalat, Shell en Ahold staat operationeel risicomanagement hoog op de agenda van ondernemingen, wetgevers en toezichthouders. Operationeel risico is het risico van verlies als gevolg van inadequate of falende interne processen, mensen en systemen of als gevolg van externe gebeurtenissen.
Terwijl financieel risicomanagement, vaak uitgesplitst naar markt- en kredietrisico, al veel langer bestaat en verder is ontwikkeld, is de aandacht voor operationeel risicomanagement relatief nieuw en zijn de methoden hiervoor nog niet uitgekristalliseerd (Leenaars, 2003). Markt- en kredietrisico beperken zich doorgaans tot specifieke activiteiten en afdelingen, laten zich goed analyseren aan de hand van algemeen aanvaarde marktgegevens en kunnen daardoor bewust worden genomen. Operationele risico’s zijn niet altijd eenvoudig identificeerbaar en raken de gehele onderneming (Simon, 2004).
In dit artikel wordt gezocht naar een antwoord op de vraag op welke wijze operationeel risicomanagement in een onderneming, in het bijzonder in het verzekeringsbedrijf, kan worden geïmplementeerd, zodanig dat toegevoegde waarde wordt gerealiseerd, dat wil zeggen dat meer wordt bereikt dan alleen compliance.
Dat operationeel risicomanagement geen managementhype is, komt mede omdat er een stevige basis voor is/wordt gelegd in wet- en regelgeving. In Basel II en Solvency II wordt geëist dat financiële instellingen ook kapitaal aanhouden voor operationele risico’s. Corporate governance codes, zoals Tabaksblat in Nederland en Sarbanes-Oxley in de Verenigde Staten, vragen om een interne beheersingsverklaring.
De Nederlandsche Bank kent een risicogebaseerd toezicht en beoordeelt daarvoor ook de risicobeheersing van de onder toezicht staande instellingen. Rating agencies, zoals Standard & Poor’s en Moody’s nemen het risicomanagement van een onderneming mee in hun beoordeling van de kredietwaardigheid. Men kan vaststellen dat operationeel risicomanagement een noodzakelijke voorwaarde is geworden om in de financiële sector actief en succesvol te kunnen zijn.
Risico wordt vaak in negatieve termen besproken: als bedreiging voor het realiseren van doelstellingen of als kans op verlies (men noemt dit wel de downside van risico). De nadruk ligt op de negatieve implicaties van slecht operationeel risicomanagement en de verliezen die daar het gevolg van zijn. De eerste doelstelling van operationeel risicomanagement is inderdaad de continuïteit van de onderneming te bevorderen door de risico’s die een onderneming loopt tot een bewust aanvaard niveau te beheersen.
Daarnaast is er nadrukkelijk ook een positieve kant (dit is de upside) van operationeel risicomanagement. Een betere beheersing van risico’s levert concurrentievoordeel op, zeker als het samengaat met efficiency- en kwaliteitsverbetering. En een goede reputatie op het gebied van interne controle en integere bedrijfsvoering draagt bij aan de aandeelhouderswaarde, al dan niet via de rating van de kredietwaardigheid. Voor ondernemingen die dat oppakken, is operationeel risicomanagement geen kwestie van moeten, maar een kwestie van willen.
Implementatie van operationeel risicomanagement is niet eenvoudig. Gegevens met betrekking tot operationeel risico zijn doorgaans beperkt beschikbaar en moeilijk te kwantificeren. Door de grote diversiteit aan gebeurtenissen en oorzaken van operationeel risico is het moeilijk daarvoor meetbare doelstellingen vast te stellen en te monitoren. Het verband tussen oorzaak en gevolg is vaak complex en de beheersing geschiedt deels op subjectieve gronden. Veel ondernemingen accepteren operationeel risico als een onvermijdelijke kostenpost die erbij hoort, een ‘cost of doing business’.
De ondernemingscultuur is van grote invloed op het operationeel risicomanagement. In de bestudering en implementatie van operationeel risicomanagement ligt de nadruk in de regel op het meten van operationele risico’s en op de verschillende maatregelen om deze risico’s te mitigeren. Toch is het vaak de cultuur van de onderneming die bepaalt of een programma voor operationeel risicomanagement succesvol is of niet. Een cultuur waarin integriteit en bewustzijn van operationeel risico hoog in het vaandel staan, benadrukt de persoonlijke verantwoordelijkheid van alle medewerkers en bestrijdt een schuldcultuur waarin mensen risico’s en verliezen verborgen houden uit angst voor represailles. Omdat implementatie van operationeel risicomanagement een cultuurverandering vergt, dient veel aandacht uit te gaan naar de beleving en perceptie van risico en risicobeheersing in een onderneming.
Operationeel risicomanagement is het effectiefst als het onderdeel is van de professionele moraal die vanzelfsprekend is. Om daartoe te komen, moeten een organisatie en de mensen die de organisatie vormen een ontwikkeling doormaken, die in het algemeen vaak verloopt van moeten (extrinsieke motivatie: nieuwe wetgeving, incidenten), via kunnen (formalisering van beleid: procedures, charters, interne regelgeving) naar willen (verinnerlijkte moraliteit).
De opbouw van dit artikel is als volgt. Een nadere begripsbepaling wordt kort gegeven in paragraaf 2. In paragraaf 3 wordt de in het onderzoek toegepaste methodologie uiteengezet en paragraaf 4 bespreekt de belangrijkste onderzoeksresultaten. Paragraaf 5 sluit af met enkele conclusies.
2. Begripsbepaling
De laatste jaren tekent zich consensus af over de volgende definitie van operationeel risico: het risico van verlies als gevolg van inadequate of falende interne processen, mensen en systemen of als gevolg van externe gebeurtenissen. Sinds 2001 hanteert ook Basel (2001) deze definitie, die gebaseerd is op vier onderliggende oorzaken van operationeel risico (processen, mensen, systemen en externe gebeurtenissen). Dit biedt directe aanknopingspunten voor het maken van een risicoanalyse en de beheersing van operationeel risico. Onderscheid moet worden gemaakt tussen oorzaken, verliesgebeurtenissen en de winsten en verliezen die daar het gevolg van zijn. Operationeel risico kan op elk van deze drie aspecten worden geanalyseerd.
Minder overeenstemming is er als de definitie in concrete voorbeelden wordt uitgewerkt. In de regel wordt het strategisch risico, dat wil zeggen de vraag of de strategische beslissingen van een onderneming juist zijn en bijzondere risico’s met zich meebrengen, niet tot het operationeel risico gerekend. Als de uitvoering van de strategie faalt, denk bijvoorbeeld aan te trage productontwikkeling, ondeugdelijke verkooppraktijken en falende kostenbesparingen, kan wel van een operationeel risico worden gesproken.
Het Basel Committee (2005) rekent reputatierisico niet tot het operationeel risico, vanwege het praktische bezwaar dat deze risico’s niet goed meetbaar zijn. Uitsluiting van het reputatierisico is om praktische redenen begrijpelijk, maar dat neemt niet weg dat het een significant risico is dat niet buiten beschouwing kan worden gelaten in het totale risicomanagement van een onderneming. Simons (2000) vindt reputatierisico, dat hij franchise risk noemt, juist het grootste risico, omdat het tot een snelle ondergang van de onderneming kan leiden als klanten, medewerkers en aandeelhouders het vertrouwen in de onderneming verliezen.
Een te breed perspectief biedt geen aanknopingspunten voor risicomanagement. Een nadere rubricering van het operationeel risico is wenselijk om de algemene definitie meer inhoud te geven en af te bakenen. Ondernemingen die een te beperkte classificatie kiezen waarin een aantal soorten operationeel risico wordt uitgesloten omdat deze niet goed meetbaar zijn, accepteren daarmee het risico dat die risico’s niet worden geanalyseerd en gemanaged. We moeten accepteren dat het begrip operationeel risico nooit volledig te beschrijven is, hetgeen tegelijkertijd een belemmering is voor risicomanagement. Hoe gedetailleerd de gekozen classificatie ook is, er zullen altijd meer en andere gebeurtenissen zijn die tot operationele verliezen kunnen leiden.
Een gestandaardiseerde methode is niet voorhanden, noch voor de wijze waarop een onderneming invulling zou moeten geven aan operationeel risicomanagement, noch voor de wijze waarop dit goed wordt geïmplementeerd. De bestaande publicaties op dit gebied zijn veelal korte artikelen of bloemlezingen, waarin verschillende auteurs deelaspecten nader uitwerken, zoals kwantificering en verzekering, of eigen raamwerken presenteren waarmee bijvoorbeeld aan de eisen van Basel II en corporate governance codes kan worden voldaan (Alexander, 2003; Risk Books, 2003; Chorafas, 2004; Emanuels en De Munnik, 2006). Anderen laten vooral best practices zien (Hoffman, 2002).
Het raamwerk voor interne controle van COSO uit 1992, dat ook door Tabaksblat (Commissie corporate governance, 2003) als voorbeeld wordt genoemd, en vooral de uitbreiding daarvan tot een raamwerk voor enterprise risk management, lijken thans het meest gebruikt te worden. COSO hanteert een ruimer risicobegrip dan Basel en is toepasbaar voor de beheersing van diverse soorten ondernemingsrisico. COSO (2004, p. 16) definieert risicomanagement als volgt:
“Enterprise risk management is a process, effected by an entity’s board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risks to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives.”
Een aantal fundamentele concepten is in deze definitie verankerd. In de eerste plaats is risicomanagement een proces en daarmee middel in plaats van doel. De definitie maakt ook duidelijk dat mensen op alle niveaus in de organisatie het risicomanagement inhoud geven. Tegelijkertijd worden mensen ook door het risicomanagement beïnvloed. Het bepaalt mede hun verantwoordelijkheden, bevoegdheden, verplichtingen en de manier waarop zij hun werk doen.
Risk appetite is de mate van risico die een onderneming bereid is te nemen, vaak in samenhang met de doelstellingen op het gebied van groei en rendement. Risicoafwegingen spelen een rol bij het bepalen van de strategie, het afwegen van alternatieven en het alloceren van middelen. Goed risicomanagement geeft de ondernemingsleiding redelijke zekerheid ten aanzien van strategie (zijn doelen in overeenstemming met de missie van de onderneming), operaties (effectief en efficiënt gebruik van middelen), de betrouwbaarheid van de verslaglegging en het voldoen aan wet- en regelgeving (compliance).
3. Methodologie
De afgelopen decennia is de benadering van organisatieverandering ingrijpend gewijzigd. Waar verandering eerst werd gezien als een bevel tot een nieuwe manier van werken van de hoogste baas, is nu vaker sprake van een proces waarin alle medewerkers worden betrokken. Het belang van empowerment, de organisatiecultuur en interne communicatie bij verandering wordt breed erkend. Een onderzoeksmethode die hierbij aansluit en hier wordt toegepast, is actieonderzoek (Reason en Bradbury, 2001). Dit is een participatieve en op samenwerking gerichte onderzoeksmethode, waarin theorie, onderzoek en praktijk worden geïntegreerd. In een cyclisch proces van handelen en reflecteren wordt kennis gegenereerd, theorie ontwikkeld en een verandering in de organisatie gerealiseerd. Het doel is zowel kennis te vergaren over de praktijk als de praktijk mee te sturen vanuit het onderzoek. Daarmee is actieonderzoek een middel voor organisatieverandering. Kenmerkend voor actieonderzoek is een cyclisch (in plaats van lineair) proces van actie en reflectie, van grof naar fijn. Handelen en reflecteren op dat handelen leiden tot leren en daarmee tot kennisgeneratie en theorieontwikkeling.
De rol van de onderzoeker kan in actieonderzoek niet afstandelijk zijn. Het is niet alleen observeren, registreren en analyseren. Hij werkt lerend mee in de richting van het gestelde doel. Hij is dan ook noch onpartijdig noch onverschillig. Dit is afwijkend van traditionelere onderzoeksmethoden, waarin de onderzoeker geacht wordt objectief en onafhankelijk te analyseren en de rollen van onderzoeker en onderzochte strikt te scheiden. Actieonderzoek daarentegen onderkent dat iedere inmenging in het kader van onderzoek op zichzelf ook een interventie in het proces is en dat de onderzoeker daarmee het proces beïnvloedt. Bovendien kan de inbreng van de onder zochten in het onderzoeksontwerp en de uitvoering daarvan het onderzoek ten goede komen.
Managementtechnieken voor het realiseren van organisatieverandering die uitgaan van de macht van de top van het bedrijf, resulteren in een openlijke navolging van hetgeen is opgedragen, met andere woorden compliance op de korte termijn. Er vindt echter geen verinnerlijking plaats. Daarvoor zijn leren, communicatie, betrokkenheid en werkelijke invloed van medewerkers bij organisatieverandering van belang. Als invloed in plaats van macht wordt uitgeoefend, creëert dat weinig openlijke conformiteit, maar wordt gevolg gegeven aan de doelen van de gewenste verandering alsof mensen die zelf bedacht en tot stand gebracht hebben. De omschakeling die dan plaatsvindt, heeft een veel langere termijn karakter. Dit inzicht is van belang voor een implementatie van operationeel risicomanagement die bijdraagt aan de ontwikkeling van de organisatie en aan het behalen van de ondernemingsdoelstellingen en niet beperkt blijft tot het voldoen aan de aangescherpte eisen van regelgevers en toezichthouders.
Actieonderzoek laat ruimte voor veel verschillende methoden, zoals literatuuronderzoek, interviews, brainstormsessies, observaties, consultaties, trainingen, groepsdiscussies, enquêtes, rollenspellen en vele andere. De keuze van de methode is maatwerk en kan in ieder actieonderzoek anders zijn. In het reflectiedeel van het actieonderzoek is gekozen voor de Q-methodologie, omdat die systematische studie van subjectiviteit mogelijk maakt. Het resultaat is een beschrijving van de dominante patronen in de opvattingen van betrokkenen over operationeel risicomanagement.
Deze methode is ontwikkeld door Stephenson (1953) en onder andere uitgewerkt en toegepast door Brown (1996). Het is een kwalitatieve onderzoeksmethode, die gebruikmaakt van kwantitatieve, statistische technieken (factoranalyse). Een essentieel kenmerk is dat de Q-methodologie de uitspraken van de respondenten generaliseert en niet de respondenten. Geconcludeerd wordt niet dat een bepaald percentage van de respondenten iets vindt. Gezocht wordt naar de kenmerken van patronen in opvattingen (visies) en naar de mate waarin die overeenkomsten en verschillen vertonen. Daarvoor is, in tegenstelling tot veel kwantitatief onderzoek, geen groot aantal respondenten nodig.
Een Q-sort onderzoek begint met het verzamelen en selecteren van uitspraken over het onderwerp. Het geheel van uitspraken dat in het debat over een bepaald onderwerp aan de orde is, wordt het concourse genoemd. Het gaat daarbij om subjectieve stellingen of meningen, niet om objectieve waarheden. Vervolgens wordt uit het ruwe materiaal een selectie gemaakt, de zogenaamde Q-sample. Dit zijn de uitspraken die aan de respondenten worden voorgelegd. De selectie moet zodanig worden gemaakt dat een representatieve miniatuur ontstaat van het grote geheel. Daartoe worden de stellingen gecategoriseerd en wordt binnen de categorie vastgesteld dat de stellingen het hele spectrum aan meningen afdekken en dat een aantal stellingen onderling onverenigbaar is.
De Q-methodologie stelt geen eisen aan het aantal categorieën, het aantal stellingen per categorie of een evenredige verdeling van het aantal stellingen per categorie. Daar komt bij dat de interpretatie van de categorieën en stellingen van de onderzoeker kan afwijken van die van de respondenten. De reflectie van de respondent is belangrijker dan de categorisering die door de onderzoeker is bedacht. Respondenten wordt gevraagd de stellingen te ordenen van “helemaal mee oneens” (-3) tot “helemaal mee eens” (+3) in een quasi-normaalverdeling. Er is sprake van een gedwongen ordening: het aantal stellingen per kolom staat vast en de respondent moet van evenveel stellingen aangeven dat hij het hier mee eens is als oneens. In de analyse is de plaats van de ene stelling ten opzichte van de andere belangrijker dan de individuele score op een stelling. Het resultaat van deze ordening heet een Q-sort.
De Q-sorts van alle respondenten worden statistisch geanalyseerd door middel van factoranalyse (Smolck, 2002). Hieruit komen factoren naar voren, dat wil zeggen stelsels van met elkaar samenhangende uitspraken. Iedere factor vertegenwoordigt een bepaalde visie op het onderwerp. Het aantal factoren dat uit de analyse naar voren komt, is afhankelijk van de Q-sorts en de mate van verscheidenheid daarin.
4. Onderzoeksopzet en resultaten
Het onderzoek heeft plaatsgevonden bij de Nederlandse verzekeringsmaatschappij AEGON in het bedrijfsonderdeel voor schadeverzekeringen. Het begin van het onderzoek was niet het begin van het denken over operationeel onderzoek in de organisatie. Er is sprake van interventie in een bestaande organisatie met een lange historie, waarin operationeel risicomanagement (impliciet) al op een bepaalde manier inhoud heeft gekregen. Er wordt dus niet iets geheel nieuws geïntroduceerd, maar wel wordt beoogd een impuls te geven aan operationeel risicomanagement en een nieuwe inhoud die beter aansluit bij de eisen van deze tijd.
Fig.1. Fasen in de ontwikkeling van operationeel risicomanagement.
Op basis van eigen waarneming worden vier fasen onderscheiden in de ontwikkeling van operationeel risicomanagement, die in figuur 1 schematisch zijn weergegeven. De “cirkels” van actie en reflectie in het actieonderzoek “helpen” de organisatie door deze fasen te migreren. In de praktijk zijn de verschillende cirkels in het onderzoek niet geheel van elkaar te scheiden en begint de tweede cirkel al voordat de eerste is afgerond. Dit wordt mede veroorzaakt door onvermijdelijke tempoverschillen tussen individuen en organisatieonderdelen.
De eerste cirkel in het actieonderzoek beslaat de ontwikkeling van fase 1 naar het begin van fase 3. De bewustwording van de noodzaak van operationeel risicomanagement neemt sterk toe en de eerste structurele maatregelen worden genomen om operationeel risicomanagement in de organisatie te verankeren. De nadruk ligt op het voldoen aan wet- en regelgeving, waaronder Sarbanes-Oxley die eisen stelt aan de integriteit van de financiële rapportage.
Bewustwording wordt geholpen door enkele gevallen van negatieve publiciteit. In oktober 2004 bijvoorbeeld beschuldigde de openbaar aanklager in New York, Eliot Spitzer, een verzekeringsmakelaar en verschillende verzekeraars in de Verenigde Staten van misleiding en manipulatie van klanten. In Nederland kan de negatieve publiciteit rondom aandelenleaseproducten en beleggingshypotheken als voorbeeld worden genoemd.
Acties die in deze periode door het onderzochte bedrijf zijn genomen, zijn onder andere de inrichting van een afdeling Risk Management. Ook zijn trainingen en presentaties verzorgd, waarin het doel van operationeel risicomanagement is toegelicht en is afgesproken dat de verantwoordelijkheid voor risicomanagement niet bij een stafafdeling ligt, maar in de lijnorganisatie. Risicobeheersing bestaat vooral uit correctie en repressie van de mogelijke negatieve gevolgen van de operationele risico’s, zoals verrassingen in de resultaten en reputatieschade. Tegen het eind van deze eerste cirkel worden ook de voordelen van risicomanagement voor de bedrijfsvoering zichtbaarder. De toegenomen kennis van de processen en de risico’s daarin worden gebruikt om fouten en verliezen te beperken, hetgeen leidt tot efficiencyverbeteringen en een betere kwaliteit.
In het reflectiedeel van de eerste cirkel in het actieonderzoek zijn met toepassing van de Q-methodologie 31 stellingen voorgelegd over het bewustzijn van de ernst en omvang van operationele risico’s, het nut van operationeel risicomanagement en de verantwoordelijkheid voor risicomanagement en de te nemen maatregelen. Hieruit kwam naar voren dat binnen de onderneming drie visies met betrekking tot operationeel risicomanagement bestaan:
Visie 1: focus op interne processen focus op interne processen voor verbetering van efficiency en kwaliteit
Aanhangers van deze visie zijn vooral intern gericht en beschouwen risicomanagement als een middel om de efficiency en de kwaliteit van de bedrijfsvoering te verbeteren. Zij streven een bedrijfsvoering na die als een goed geoliede machine is met strak geregisseerde processen die weinig ruimte laten voor eigen inbreng van medewerkers.
Visie 2: focus op gedrag en eigen verantwoordelijkheid van mensen
Deze groep verwacht van iedereen een manier van werken die in het belang van het bedrijf is en in overeenstemming met de geest van de richtlijnen. Participatie van medewerkers bij besluitvorming wordt belangrijk gevonden, maar dit gaat niet samen met een groot vertrouwen in mensen. Meer dan de aanhangers van de andere visies wordt controle noodzakelijk geacht.
Visie 3: focus op extern imago bij aandeelhouders en klanten
Door deze groep wordt een aanzienlijk publiciteitsrisico onderkend. Operationele blunders schaden het vertrouwen en belemmeren daarmee de groei en winstgevendheid van het bedrijf. Door risicomanagement expliciet zichtbaar te maken, kan de aandelenkoers positief worden beïnvloed en concurrentievoordeel worden behaald. Deze groep hecht aan beperking van de volatiliteit en ziet risicomanagement als een middel daarvoor.
In alle visies wordt het belang van risicomanagement onderschreven, maar de oorzaak van dat belang en de wijze waarop daaraan invulling moet worden gegeven verschillen. Toch sluiten de verschillende visies elkaar niet geheel uit en bleek de correlatie tussen de visies redelijk hoog. Consensus is noch haalbaar noch nodig. Er blijken voldoende aanknopingspunten om gezamenlijk aan risicobeheersing te werken. Het gaat dan ook niet om een keuze voor één van de drie visies, maar om een pakket maatregelen waarin een balans tussen de verschillende belangen wordt bereikt. Hierdoor wordt voorkomen dat een deel van de mensen, wier problemen niet worden geadresseerd, als het ware afhaakt.
In de tweede cirkel van het actieonderzoek werd geprobeerd een brug te slaan van noodzaak naar nut van operationeel risicomanagement en zo ver mogelijk in fase 4 te komen. Met andere woorden, het doel is dat de wijze waarop operationeel risicomanagement wordt ervaren, verschuift van een noodzakelijk kwaad tot een positief instrument voor de verdere professionalisering van de bedrijfsvoering. Managers die operationeel risicomanagement ook strategisch gaan beschouwen en risicomanagement in de besluitvorming integreren, zoeken niet alleen naar risicoreductie, maar veel meer naar risico-optimalisatie. Bij deze fase past een pro-actief risicomanagement. In plaats van bestaande processen achteraf te analyseren en beheersbaar te maken, wordt bij het ontwerpen van processen en projecten reeds rekening gehouden met de daaraan verbonden risico’s en beheersingsmaatregelen.
Concreet is hieraan invulling gegeven door risk & control self-assessment workshops, waarin met directbetrokkenen risico’s en beheersingsmaatregelen worden geïdentificeerd en beoordeeld. Workshops vergroten de betrokkenheid van de deelnemers en hun verantwoordelijkheidsgevoel voor risico’s en risicobeheersing. Dit bevordert de cultuur ten aanzien van operationeel risicomanagement. Ook is in deze fase operationeel risicomanagement verder geïnstitutionaliseerd door de uitrol van nieuwe soft ware, waarin processen, risico’s en beheersingsmaatregelen vastliggen en worden bewaakt, en door instelling van een Risk Committee, dat minimaal eens per kwartaal bijeen komt.
In het kader van de reflectie in de tweede cirkel van het actieonderzoek is nogmaals de houding ten aanzien van risicomanagement gepeild. In de tweede Q-sort werden grotendeels andere stellingen voorgelegd dan in de eerste Q-sort. Het doel is namelijk niet om een hertest uit te voeren naar de betrouwbaarheid van een eerdere meting. Het is inherent aan actieonderzoek dat de uitkomst verandert, mede vanuit het besef dat een meting een interventie is. Uit de eerste Q-sort werd duidelijk dat het bewustzijn van nut en noodzaak van risicomanagement in ruime mate aanwezig is. In de tweede Q-sort zijn stellingen voorgelegd over de rol van de afdeling Risk Management, de visie op controle en de impact van risico- en procesbeheersing op ondernemerschap en innovatie. Ook komen de stellingen terug uit de eerste Q-sort die kenmerkend zijn voor de drie gevonden visies. Bij analyse van de resultaten bleek de relatie tussen risicomanagement en innovatie door de respondenten niet als zeer onderscheidend opgepakt te zijn. Dit zijn de (wederom drie) gevonden visies:
Visie 1: voorkeur voor bottom-up en decentrale implementatie van risicomanagement
Degenen die deze visie aanhangen, nemen zelf de verantwoordelijkheid voor risicomanagement op zich en zien voor een afdeling Risk Management een rol op de achtergrond, vooral ter ondersteuning en advisering. Verantwoordelijkheid moet laag in de organisatie worden gelegd en controle is een noodzakelijk kwaad.
Visie 2: voorkeur voor top-down en centraal gecoördineerde implementatie van risicomanagement
Deze groep geeft de voorkeur aan centrale sturing. Het is goed als door een afdeling Risk Management duidelijke kaders worden gegeven en eisen worden gesteld. Controle is onmisbaar.
Visie 3: focus op extern imago bij aandeelhouders en klanten
Deze groep vertoont sterke overeenkomsten met visie 3 in de eerste Q-sort. Deze groep heeft geen onderscheidende mening over controle en over centrale of decentrale implementatie van risicomanagement.
Bij wijze van hypothese is aan de respondenten van de tweede Q-sort tenslotte figuur 2 voorgelegd, die de relatie weergeeft tussen operationeel risicomanagement en toegevoegde waarde. Toegevoegde waarde is positief als de baten van operationele risicobeheersing (bijvoorbeeld betere efficiency, kwaliteit, minder fouten en minder gemiste kansen) hoger zijn dan de kosten ervan. Bij punt A is compliance bereikt. Dit is een minimumeis, die geen toegevoegde waarde levert, maar een noodzakelijke voorwaarde is voor het bestaan van de onderneming. Voorbij punt B slaat risicobeheersing te ver door. De marginale kosten van risicobeheersing worden hoger dan de marginale opbrengsten. Voorbij punt C is de toegevoegde waarde van risicomanagement negatief. Alle risico’s zijn geëlimineerd, alle processen kloppen, maar de kosten van risicobeheersing zijn enorm en het ondernemerschap is verloren gegaan.
In figuur 2 is aangegeven hoeveel respondenten de onderneming op welk deel van de curve positioneren. Breed wordt erkend dat risicomanagement toegevoegde waarde biedt en dat er nog ruimte is voor verdere beheersing. Het punt waarop er meer risicobeheersing plaatsvindt dan goed is voor de onderneming, is nog niet bereikt. Slechts op enkele deelaspecten wordt aangegeven dat de beheersing meer eisen stelt dan noodzakelijk en de snelheid van handelen beperkt.
Fig.2. Relatie tussen mate van operationeel risicomanagement en toegevoegde waarde.
5. Conclusies
Operationeel risicomanagement is een essentieel onderdeel van goed ondernemerschap. Hoe meer het operationeel risicomanagementbeleid en het ondernemingsbeleid op elkaar worden afgestemd of nog beter, hoe meer het operationeel risicomanagementbeleid in het ondernemingsbeleid is geïntegreerd, hoe effectiever het is. De manier waarop beslissingen tot stand komen, afspraken met klanten en leveranciers worden gemaakt en medewerkers worden opgeleid, moeten in overeenstemming zijn met het beleid ten aanzien van operationeel risico.
Operationeel risicomanagement is hier benaderd vanuit het perspectief van het verzekeringsbedrijf met de vraag op welke wijze operationeel risicomanagement toegevoegde waarde kan hebben voor de onderneming. Dat wil zeggen dat niet alleen wordt voldaan aan de eisen van regelgevers en toezichthouders, maar dat ook de kwaliteit van de bedrijfsvoering wordt verbeterd en de concurrentiepositie wordt versterkt, bijvoorbeeld door een efficiëntere aanwending van het vermogen. Voor de implementatie van operationeel risicomanagement is actieonderzoek ingezet als middel voor organisatieontwikkeling. Dat lukt niet door de introductie van overlegstructuren, rapportages en softwareapplicaties alleen. Er is daarom ook veel aandacht besteed aan de beleving van risico en risicobeheersing in de onderneming.
In dit onderzoek werden vier fasen zichtbaar bij de ontwikkeling van operationeel risicomanagement. Daarmee is niet gezegd dat alle ondernemingen hetzelfde proces moeten of zullen doormaken. Het is goed mogelijk dat er verschillende startpunten zijn en verschillende wegen die naar hetzelfde doel leiden. Voor een duurzame verankering van risicomanagement in de organisatie, is de reis die de onderneming aflegt vrijwel net zo belangrijk als de eindbestemming. Risicomanagement behoort tot de grootste uitdagingen voor ondernemingen. De risico’s die samenhangen met bedreigingen moeten worden beheerst, zodanig dat de kans dat het risico zich voordoet wordt verkleind en als dat toch gebeurt, dat de impact daarvan kleiner is. De kans dat een ‘business opportunity’ zich voordoet en het mogelijke voordeel daaruit, moeten worden gemaximaliseerd. Het gaat erom de juiste balans tussen risico en opbrengst te vinden. De taak van de risicomanager is dan ook niet risicobeperking, maar het bevorderen dat risico’s bewust worden genomen. Eigenlijk moeten we terug naar de oorspronkelijke betekenis van het woord risico, dat afkomstig is van het vroeg-Italiaanse ‘risicare’ en dat durven betekent (Bernstein, 1996). Risico is dan een keuze en niet iets dat je overkomt.
Een te sterke nadruk op het risico dat (nieuwe) ondernemingsactiviteiten met zich mee brengt en op het beperken van risico kan verlammend op een organisatie werken. Het zal dan moeilijk zijn voldoende aandacht voor operationeel risicomanagement ook op langere termijn vast te houden. Benadrukt moet worden dat de beheersing van operationele risico’s meer zekerheid geeft ten aanzien van het realiseren van de ondernemingsdoelstellingen en kansen biedt met betrekking tot een beter imago, meer tevreden klanten, een groter behoud van klanten, meer verkoop, marktaandeel en winstgevendheid. Het echte voordeel is te behalen in het benutten van deze kansen. Daarmee is operationeel risicomanagement een breder onderwerp dan het voldoen aan regelgeving en aan de wensen van toezichthouders.
Operationeel risicomanagement kent ook beperkingen. Om te beginnen is operationeel risicomanagement geen garantie dat de onderneming niet failliet gaat. Zonder risicobeheersing zal faillissement zich waarschijnlijk sneller aandienen, maar ook met effectieve risicobeheersing is niet gezegd dat alle doelstellingen altijd worden gerealiseerd. De toekomst is onzeker, niet alle gebeurtenissen zijn te voorzien en niet alles gebeurt zoals tevoren bedacht.
Totale operationele risicobeheersing kost meer dan het oplevert. De uitdaging is een zodanige balans te vinden dat de toegevoegde waarde van risicomanagement maximaal is en dat betekent niet maximale risicobeperking. Volledige beheersing is een mythe en daarom is dit zeker geen pleidooi voor een ‘auditexplosie’. Als alle risico’s worden geëlimineerd, treedt fatale verlamming op. Als alle processen kloppen en alle controlemaatregelen worden uitgevoerd, maar er geen ondernemerschap meer is, dat wil zeggen geen risico meer wordt genomen, gaat de onderneming ‘in schoonheid ten onder’. Meer is niet altijd beter.
Ridder, W. de (2007) Operationeel risicomanagement: meer dan alleen compliance.Maandblad voor Accountancy en Bedrijfseconomie 81(4): 138-145. doi: 10.5117/mab.81.16324
Literatuur
Alexander, C. (2003) Operational risk: regulation, analysis and management, Financial Times Prentice Hall, London.
Basel Committee on Banking Supervision (2001) Working Paper on the Regulatory Treatment of Operational Risk, Bank for International Settlements, Basel.
Basel Committee on Banking Supervision (2005) International Convergence of Capital Measurements and Capital Standards: a revised Framework, Bank for International Settlements, Basel (first published June 2004, updated November 2005).
Bernstein, P.L. (1996) Against the gods. The remarkable story of risk, Wiley, New York.
Brown, S.R. (1996) Q Methodology and Qualitative Research, Qualitative Health Research, 1996 (November), vol. 6, no. 4, pp. 561-567.
Chorafas, D.N. (2004) Operational Risk Control Business Opportunity and Challenges for the Insurance Industry, in: The Geneva Papers on Risk and Insurance, Vol. 29, No. 1 (January 2004), The International Association for the Study of Insurance Economics, Blackwell Publishing, Oxford.
Commissie corporate governance (2003) De Nederlandse corporate governance code. Beginselen van deugdelijk ondernemingsbestuur en beste practice bepalingen, http://www.corpgov.nl.
COSO, The Committee of Sponsoring Organizations of the Treadway Commission (2004), Enterprise Risk Management – Integrated Framework, http://www.coso.org.
Emanuels, J.A. en W.G. de Munnik (2006) Enterprise Risk Management; een risicobeheersingssysteem voor organisaties, Maandblad voor Accountancy en Bedrijfseconomie, jg. 80, nr. 6, pp. 294-299.
Hoffman, D.G. (2002) Managing operational risk: 20 firmwide best practice strategies, Wiley, New York.
Leenaars, J.J.A. (2003) Risicomanagement van banken, Maandblad voor Accountancy en Bedrijfseconomie, jg. 77, nr. 7/8, pp. 340-347.
Reason, P. en H. Bradbury (ed.) (2001) Handbook of Action Research. Participative Inquiry and Practice, Sage, London.
Ridder, W.P. de (2006) Risicobeheersing met toegevoegde waarde. Een actieonderzoek naar de introductie van operationeel risicomanagement in een verzekeringsbedrijf, proefschrift, http://www.wpderidder.nl.
Risk Books (2003) Advances in Operational Risk. Firm-wide Issues for Financial Institutions, Risk Books, London.
Simon, B. (2004) Operational risk management, a view from the mill, in: Banking and Finance, vol. 15, no. 5 (oktober/november), pp. 95-99.
Simons, R. (2000) Performance Measurement and Control Systems for Implementing Strategy, Prentice-Hall, London.
Stephenson, W. (1953) The Study of Behavior. Q-Technique and its Methodology, University of Chicago Press, Chicago.
*Bij het schrijven van zijn artikel is hij operationeel risicomanager bij AEGON. Hij studeerde bedrijfseconomie aan de Erasmus Universiteit Rotterdam en promoveerde oktober 2006 aan de Universiteit van Tilburg op een onderzoek naar de introductie van operationeel risicomanagement. Dit artikel is gebaseerd op zijn dissertatie. Hij is op het moment van schrijven directeur Futures Studies | Futuroloog | Spreker | Auteur | Strategieconsultant.
Dit essay is met instemming van de auteur opgenomen in het e-boekPubliek Risico: Essays. Het is oorspronkelijk gepubliceerd door MAB in april 2007.
The Risk Management Handbook offers readers knowledge of current best practices and cutting-edge insights into new developments within risk management.
Risk management is dynamic, with new risks continually being identified and risk techniques adapting to new challenges. Drawing together leading voices from the major risk management application areas, such as political, supply chain, cybersecurity, ESG and climate change risk, this edited collection showcases best practices in each discipline and provides a comprehensive survey of the field as a whole.
This second edition has been updated throughout to reflect the latest developments in the industry. It incorporates content on updated and new standards such as ISO 31000, MOR and ISO 14000. It also offers brand new chapters on ESG risk management, legal risk management, cyber risk management, climate change risk management and financial risk management. Whether you are a risk professional wanting to stay abreast of your field, a student seeking a broad and up-to-date introduction to risk, or a business leader wanting to get to grips with the risks that face your business, this book will provide expert guidance.
“An opportunity to learn from the risk world’s best thinkers in one easy to navigate handbook. This will become your go to guide for pivotal risk responses, with useful pointers on next steps and emerging risk issues.”
– Clare Ball, Director of Internal Audit, Risk Assurance & Insurance, Babcock International Group, UK
Key features at a glance
Covers all the main application areas of risk management in business, including cyber, financial, and political risks.
Collates cutting-edge contributions from recognised experts in specific application areas, outlining best practices and hot topics in risk management.
It uses a consistent framework to allow readers to compare practice in each area and apply insights easily.
New to this edition: new chapters on ESG risk, legal risk, climate change risk and financial risk; refreshed material on updated and new standards such as ISO 31000, M_o_R and ISO 14000.
Reviews the key challenges that affect risk professionals, addressing issues like communicating uncertainty, decision-making, resilience, change management, risk culture and risk leadership.
Bibliography
Hillson, D. (ed.) (2023) The Risk Management Handbook:A Practical Guide to Managing the Multiple Dimensions of Risk (2nd edition). London: Kogan Page.
About the authors
David Hillson is an international risk management consultant leading The Risk Doctor Partnership, based on his worldwide network with other risk experts. He is the author of eleven books, including Managing Risk in Projects (Gower) and The Risk Doctor’s Cures for Common Risk Ailments (Management Concepts Press).
Dr Richard Barber: Managing Director, RiskIQ.
Dr Lynda Bourne: CEO and Managing Director, Stakeholder Management Pty Ltd and Director of Professional Development, Mosaic Project Services.
Dr Veronica Bowman: Statistician, Defence Science and Technology Laboratory.
Dr Ariane Chapelle: Honorary Reader in Operational Risk, University College London.
Ian Clark: Principal, 4Thought Associates.
Linda Conrad: Head of Strategic Business Rick, Zurich Insurance, Global Corporate.
Dr Dale F. Cooper: Director, Broadleaf Capital International.
Alex Hindson: Chief Risk Officer, Argo Group.
Dr Greg Ker-Fox: Founder, FoxCo Risk.
Robert McKellar: Director, Harmattan Risk.
Giusi Meloni: Partner, The Project Management Lab.
Dr Ruth Murry-Webster: Director, Change Portfolio for Associated British Ports Ltd.
Ben Rendle: Managing Director, Riosca Limited.
Edward Sankey: Director, Larocourt Risk.
Dr Erica Seville: Co-leader, Resilient Organizations.
Dr Keith Smith: Consultant, RiskCovered.
Magda Stepanyan: Founder and CEO, Risk Society.
Liz Taylor: Managing Partner, Liz Taylor Risk Consulting.
Robert Toogood: Founder, Project Systems Support.
Daniel Wagner: CEO, Country Risk Solutions.
Patrick Weaver: Managing Director, Mosaic Project Services Pty Ltd.
Arif Zaman: Executive Director, Commonwealth Businesswomen’s Network.
Wij stellen je graag voor aan Harrie. HARRIE staat voor: HAaRlems RIsicomanagement Expertisenetwerk. Harrie is een dynamisch kennisnetwerk op het gebied van risicomanagement, dat getrokken wordt door onze risico-coördinatoren en concerncontrol. Iedereen die zich bezig houdt met risicomanagement kan zich hierbij aansluiten. Wie meer wil weten over risicomanagement of het invoeren daarvan, kan een beroep doen op Harrie, want Harrie wil graag dat we binnen de gemeente bewust omgegaan met risico’s.
In dit boekje hanteert Harrie een aantal uitgangspunten. Hierin zijn de basisprincipes van risicomanagement verwerkt. Voor wie concreet met risicomanagement aan de slag wil, licht Harrie alle stappen toe die doorlopen moeten worden in het cyclische proces van risicomanagement. Voor alle stappen geeft Harrie een aantal geschikte methodieken en enkele praktische adviezen.
Voor diegenen die graag willen weten hoe je risico management kunt verankeren in je project of organisatie, reikt Harrie een model aan dat gebaseerd is op de ISO 31000 norm die we hanteren in de Richtlijn Risicomanagement. Hierin heeft Harrie ook een aantal vragen opgenomen waarmee je op hoofdlijnen kunt bepalen of je de juiste condities hebt gecreëerd voor effectief risicomanagement. Mocht je in de praktijk vastlopen, dan zijn die vragen tegelijk een handig hulpmiddel om te achterhalen hoe dat komt.
Dit boekje is geen handboek risicomanagement. Doel van het boek is tweeledig: er voor zorgen dat we in Haarlem bewust omgaan met risico’s en spraakverwarring voorkomen door het creëren van een gemeenschappelijke taal. Voor dat laatste heeft Harrie in de bijlage een begrippenlijst bijgevoegd. Wie meer wil weten, wordt door Harrie doorverwezen naar relevante vakliteratuur, websites, opleidingen of naar Harrie zelf.
Harrie neemt daarmee wel een risico, want hoe meer Harrie er in slaagt om risicomanagement te stimuleren, hoe meer er een beroep op hem zal worden gedaan. Harrie neemt dit risico bewust.
ARIE staat voor: Amsterdams RIsicomanagement Expertisenetwerk. Arie is een dynamisch kennisnetwerk op het gebied van risicomanagement. Iedereen die
zich bezig houdt met risicomanagement kan zich hierbij aansluiten. Wie meer wil weten over risicomanagement of het invoeren daarvan, kan een beroep doen op Arie, want Arie wil graag dat we binnen de gemeente bewust omgegaan met risico’s.
In dit boekje hanteert Arie een aantal uitgangspunten. Hierin zijn de basisprincipes van risicomanagement verwerkt. Voor wie concreet met risicomanagement aan de slag wil, licht Arie alle stappen toe die doorlopen moeten worden in het cyclische proces van risico management. Voor alle stappen wordt een aantal geschikte methodieken en enkele praktische adviezen aangereikt.
Voor diegenen die graag willen weten hoe je risicomanagement kunt verankeren in je project of organisatie, reikt Arie in hoofdstuk 5 een model aan dat gebaseerd is op de ISO 31000 norm. Hierin heeft Arie ook een aantal vragen opgenomen waarmee je op hoofdlijnen kunt bepalen of je de juiste condities hebt gecreëerd voor effectief risicomanagement. Mocht je in de praktijk vastlopen, dan zijn die vragen tegelijk een handig hulpmiddel om te achterhalen hoe dat komt.
Dit boekje is geen handboek risicomanagement. Doel van het boek is tweeledig: er voor zorgen dat we in Amsterdam bewust omgaan met risico’s en spraakverwarring voorkomen door het creëren van een gemeenschappelijke taal. Voor dat laatste heeft Arie in de bijlage een begrippenlijst bijgevoegd.
Wie meer wil weten, wordt door Arie doorverwezen naar relevante vakliteratuur, websites, opleidingen of naar Arie zelf. Arie neemt daarmee wel een risico, want hoe meer Arie er in slaagt om risicomanagement te stimuleren, hoe meer er een beroep op hem zal worden gedaan. Arie neemt dit risico bewust.
Frank van Kuijck en Rein-Aart van Vugt | Deloitte, 2010
De rol die gemeenten en provincies (hierna gemeenten) in onze samenleving innemen, is gecompliceerd. Dat kun je zien aan het aantal relaties dat gemeenten hebben. Denk bijvoorbeeld aan de partijen die betrokken zijn bij de ontwikkeling van een project.
De complexiteit wordt ook gecreëerd door de extra taken en vernieuwingen waar gemeenten in de voorbije jaren mee te maken hebben gekregen, zoals de Wet Maatschappelijke Ondersteuning, Wet op de grondexploitaties of wijziging Wet ruimtelijke ordening.
Voor de komende jaren staan er bovendien nog een aantal decentralisaties van taken van de Rijksoverheid en provincies naar de gemeenten voor de deur. En dan is daar de krediet-, Euro- en economische crisis nog bovenop gekomen.
Deze situatie levert tal van uitdagingen en kansen op. Het vraagt om een fris en dynamisch lokaal bestuur en aanpassing van en bezinning op de gebaande paden en de toekomst. Politiek leiderschap staat nu centraal en heeft als belangrijk fundament adequaat toegepast risicomanagement.
Een verplichting?
Sinds de invoering van het Besluit Begroting en Verantwoording (BBV) in 2004 zijn gemeenten verplicht verantwoording af te leggen rondom een aantal belangrijke thema’s. Gemeenten moeten onder meer aandacht besteden aan het weerstandsvermogen, de inventarisatie van de risico’s en het beleid rondom risico’s en weerstandscapaciteit. Dit vraagt om een dynamisch en permanent aanwezig systeem van risicomanagement, omdat de weergave (tenminste) bij zowel de begroting als de jaarstukken moet worden gepresenteerd. De doelstelling van de wetgever is het permanent verkrijgen van een beter inzicht in de financiële positie.
De worsteling
Na de invoering van het BBV worstelden gemeenten met het vormgeven van de verplichtingen vanuit de paragraaf weerstandsvermogen. Geluiden die klonken, waren:
We kunnen toch niet alles voorzien, we hebben geen glazen bol.
Veel risico’s zijn niet te kwantificeren.
Wie moet nu wat doen in het gehele proces en is verantwoordelijk voor het bewaken van de risico’s?
Risicomanagement is iets van financiën in relatie tot de verslaggeving, de, lijnmanagers moeten vooral bezig zijn met het realiseren van beleid en activiteiten.
Het op zoek gaan naar risico’s en het treffen van maatregelen zorgt eerder voor verlamming dan dat het zorgt voor versnelling.
Wat moet de omvang zijn van het weerstandsvermogen?
Weer iets nieuws.
Het zijn allemaal relevante opmerkingen en vragen. Toch bieden risico-inventarisaties ook veel antwoorden. Hoewel veelal nog financieel getint geven risico-inventarisaties prioriteit aan de berekening van een gekwantificeerd risico binnen een bepaalde bandbreedte. Dat biedt een bemoedigende start. Bovendien, wanneer een organisatie zich in een vroeg stadium bewust is van de risico’s en de noodzaak ziet hierop te reageren, dan is een groot deel van de winst al binnen. Het draait dus om gedrag, bewustzijn en reageren. Echter, gedrag beïnvloeden is een lastige taak. We doen hieronder een aantal handreikingen.
In het BBV staat een aantal begrippen centraal
Risico’s. Een kans op een gebeurtenis die een (negatief dan wel positief) effect heeft op de continuïteit van de bedrijfsvoering en het realiseren van de doelstellingen van de organisatie.
Beheersmaatregelen. Het stelsel van maatregelen en procedures die worden genomen om de onderkende risico’s te ondervangen dan wel om opkomende risico’s te signaleren en het effect hiervan te beperken.
Weerstandscapaciteit. Het geheel van middelen en mogelijkheden om niet begrote, onvoorziene en (mogelijk) substantiële kosten te dekken. Deze capaciteit kan zowel incidenteel alsook structureel zijn.
Weerstandsvermogen. De mate waarin de financiële tegenvallers kunnen worden opgevangen. Hierbij wordt de capaciteit afgezet tegen de risico’s die worden gelopen.
Risicomanagement. Het identificeren en kwantificeren van risico’s en het bepalen van activiteiten die de kans van optreden en/of de gevolgen van risico’s beheersbaar houdt.
Een eenduidige en logische zaak
Wil je vooruit komen en kansen benutten dan gaan onzekerheden en risico’s hierbij gepaard. Belangrijk is dat alle partijen dit erkennen en daar op anticiperen. Dat betekent risico’s tijdig signaleren, maatregelen treffen, leren van nieuwe omstandigheden en zorgen dat ons gedrag evolueert. Het is daarbij cruciaal dat er tussen gemeenteraad, college en het ambtelijk apparaat duidelijke afspraken en verantwoordingslijnen bestaan over de verschillende fasen van het proces van risicomanagement.
Good governance
Daarnaast komt good governance om de hoek kijken. Dat draait om relaties en spelregels. Het gaat om vier pijlers.
Sturen. Is duidelijk geformuleerd wat het risicoprofiel is wat de gemeenteraad wenst te accepteren en hoe zij geïnformeerd wenst te worden over de ontwikkeling hiervan?
Beheersen. Welke maatregelen heeft het college en de ambtelijke top getroffen om identificatie van risico’s mogelijk te maken, in te spelen op de risico’s door het treffen van beheersmaatregelen en alert te zijn op veranderingen?
Verantwoorden. Op welke wijze en met welke periodiciteit wordt inzicht gegeven in de ontwikkeling van de risico’s, de effecten van de maatregelen, effect van niet voorziene risico’s, doelbereik en het werken binnen de gestelde kaders?
Toezicht houden. Nagaan of het systeem van risicomanagement effectief (en efficiënt) is.
Uiteindelijk doel
De reden dat gemeenten risico’s in kaart willen brengen, is om uiteindelijk maatschappelijke doelstellingen te realiseren. Door het kwantificeren van de risico’s krijg je inzicht in de financiële polsstok voor het aangaan van (nieuwe) activiteiten en het analyseren van de ontwikkelingen. Daarnaast moet het de risico’s beperken, zodat de doelstellingen binnen een acceptabel risicoprofiel worden gerealiseerd. Dan ontstaat de adaptieve organisatie in optima forma.
Belangrijk is dat een gemeente weet te reageren op nieuwe situaties die zijn ontstaan door gewijzigde activiteiten, zoals een nieuwe samenwerking, verandering van wetgeving, aanpassing van contracten of uitvoering van (nieuw) beleid, maar zeker ook de gewijzigde externe verslechterde (markt-) omstandigheden in de vastgoedsector (huizen- en bedrijfspandenmarkt) en de gevolgen van de economische crisis.
Dat betekent het erkennen van de risico’s en het treffen van adequate maatregelen. Het is dan van belang een mix te hebben in hard controls en soft controls. Hard controls zijn het beste te omschrijven als meetbare afspraken en richtlijnen waarvan wordt vastgesteld dat deze nageleefd zijn. Het meten gebeurt vaak objectief, omdat het afgesproken spelregels zijn binnen een organisatie. Soft controls zijn te zien als een beheersingsmaatregel dat ingrijpt op c.q. appelleert aan het persoonlijk functioneren van de medewerkers.
Deze maatregelen zijn van invloed op motivatie, loyaliteit, integriteit, inspiratie en normen en waarden van medewerkers. Een goede balans tussen de beide typen resulteert in een ‘perfect match’.
Duidelijke werkwijze en draagvlak
Naast een duidelijk en herkenbaar proces van risicomanagement, een adequate governance-cyclus en een goede mix van hard- en soft controls zijn belangrijke overige ingrediënten voor een goede implementatie, duidelijke werkwijze en draagvlak. We hebben nog enkele waardevolle tips:
Zoek een risicomanagementmethode die bij uw organisatie past.
Zorg dat medewerkers in de lijnorganisatie verantwoordelijk worden gemaakt voor het inschatten van, beheersen van en verantwoording afleggen over risico’s. Draagvlak van vooral de directie en het college van burgemeester en wethouders voor het concept zijn hierbij onontbeerlijk.
Organiseer een kennissessie waar het onderwerp verder uitgediept wordt en de toegevoegde waarde inzichtelijk wordt gemaakt.
Begin eenvoudig met bijvoorbeeld een pilot.
Een essentiële basis voor draagvlak is een voldoende robuuste projectorganisatie.
Als laatste raden we aan om de belasting van de organisatie zoveel mogelijk te beperken en aan te laten sluiten bij reeds bestaande initiatieven, concepten en systemen
Tot slot
Het serieus invullen van risicomanagement is geen optelsom van de risico’s. Risicomanagement is daarnaast meer dan het financieel kwantificeren en identificeren van risico’s. En het is geen statische eenmalige exercitie. Het is een belangrijke driver voor het realiseren van doelstellingen, het benutten van kansen en de ontwikkeling van een organisatie.
Wanneer men uitgaat van de eigen kracht en observaties, blijft de organisatie alert en de instrumenten en werkmethoden actueel. Bovendien creëert deze manier van werken vertrouwen en transparantie zeker in deze turbulente en moeilijke financiële tijden. Het gaat om het maken van keuzes. Dat is leiderschap.
Dit essay is met instemming van de auteurs opgenomen in het e-boekPubliek Risico: Essays.
A framework by International Risk Governance Council
Ortwin Renn, with annexes by Peter Graham | 2005
In this comprehensive white paper Risk Governance: Towards an integrative approach – coordinated and edited by Professor Ortwin Renn – the International Risk Governance Council (IRGC) brought together: “an integrated analytic framework for risk governance which provides guidance for the development of comprehensive assessment and management strategies to cope with risks, in particular at the global level. The framework integrates scientific, economic, social and cultural aspects and includes the effective engagement of stakeholders.”
In this article the headlines are summarized. In the light of history this framework is noteworthy and marks the next phase in thinking of the risk concepts. It focuses on “the improvement of risk governance strategies for risks with international implications and which have the potential to harm human health and safety, the economy, the environment, and/or the fabric of society at large.”
“The concept of risk governance comprises a broad picture of risk: not only does it include what has been termed ‘risk management’ or ‘risk analysis’, it also looks at how risk-related decision-making unfolds when a range of actors is involved, requiring coordination and possibly reconciliation between a profusion of roles, perspectives, goals and activities. Indeed, the problem-solving capacities of individual actors, be they government, the scientific community, business players, NGOs or civil society as a whole, are limited and often unequal to the major challenges facing society today.”
Risk is understood in this document as an uncertain consequence of an event or an activity with respect to something that humans value
—Kates et al. 1985
“Risks such as those related to increasingly violent natural disasters, food safety or critical infrastructures call for coordinated effort amongst a variety of players beyond the frontiers of countries, sectors, hierarchical levels, disciplines and risk fields. Finally, risk governance also illuminates a risk’s context by taking account of such factors as the historical and legal background, guiding principles, value systems and perceptions as well as organisational imperatives.”
Bibliography
Kates, R.W., Hohenemser, C. and Kasperson, J. (1985) Perilous Progress: Managing the Hazards of Technology. Boulder: Westview Press.
Renn, O. and Graham, P. (2005) Risk Governance: Towards an integrative approach. Geneva: International Governance Council.
Ons leven verandert in hoog tempo. Transformaties in ons milieu, onze economische, geopolitieke, sociale, en technologische systemen bieden ongekende kansen en mogelijkheden, maar dragen soms ook grote risico’s in zich, zo is de conclusie van het WEForum. Het Global Risks Report benadrukt het belang van het (her)kennen van systematische risico’s, hun onderlinge samenhang en langetermijndenken om ze te mitigeren. Op basis van een survey onder 700 topleiders en beleidsmakers zijn 31 “global risks” geïdentificeerd.
The Global Risks Landscape 2014 (Source: WEForum, Global Risks Report 2014, p.16)
De risico’s met de “highest concern” zijn volgens het WEForum: economische crisis, hoge structurele werkloosheid en water crises. De risico’s met de grootste impact en waarschijnlijkheid (“high impact and high likelihood”) hebben betrekking op het milieu en de economie. Risico’s die de grootste samenhang vertonen met andere risico’s (“interconnected risks”) zijn vooral van macro-economische aard. De afname in het vertrouwen van instituties en het toenemend gebrek aan politiek-bestuurlijk leiderschap zijn volgens het WEF trends, om actief te monitoren op hun potentiële negatieve maatschappelijke effecten.
Volgens het WEForum is een coherente actie door samenwerkende beslissers dringend geboden: bedrijven, overheden en burgers moeten samenwerken om het maatschappelijke weerstandsvermogen te versterken (“strengthening resilience”) en de negatieve effecten van globale risico’s te mitigeren. Risico’s en hun (internationale) interconnectiviteit behoren thuis op het radarscherm van iedere beslisser en beleidsmaker.
Risico’s en Bedreigingen 2014, Analistennetwerk Nationale Veiligheid (ANV)
Op 10 februari 2014 heeft het ANV een symposium gehouden met als doel te komen tot een brede inventarisatie van potentiële dreigingen en risico’s die een bedreiging zouden kunnen vormen voor onze Nationale Veiligheid en om die reden aandacht zouden moeten krijgen in de nog nader uit te werken “Strategie Nationale Veiligheid en de Nationale Risicobeoordeling”.
Beide hierboven genoemde publicaties vertonen verschillen, maar ook opvallende overeenkomsten in gepercipieerde risico’s. Zo is er, over de jaren heen, een harde kern van risico’s die telkens opnieuw in de lijstjes naar voren komt: milieu- en omgevingsrisico’s (klimaatverandering, natuurrampen, voedsel- en watercrises et cetera), financieel-economische risico’s (financiële crisis, economische crisis, werkloosheid, inkomensongelijkheid, schaarste aan brand– en grondstoffen et cetera) en technologische risico’s (cybercrime, big data, et cetera).
Politieke en sociale instabiliteit opvallende nieuwkomer
Het meest verrassende aan de top 10 lijstjes van belangrijkste risico’s vind ik de aanduidingen: “politieke en sociale instabiliteit” (WEForum), “de afname in het vertrouwen van instituties en het toenemend gebrek aan politiek-bestuurlijk leiderschap”(WEForum), en “het democratische failliet” (AVN). Het democratisch failliet dat als serieuze risicofactor wordt aangeduid. Dat is nogal wat! Het is voer voor bestuurskundigen en vraagt om een nadere beschouwing.
Wat is er dan mis met de (lokale) democratie? De Grondwet laat aan duidelijkheid immers weinig te wensen over: “Aan het hoofd van de gemeente staat de gemeenteraad”. De raad wikt en beschikt. De raad alloceert de schaarse middelen en bepaalt de richting en inrichting van de gemeente. Maar de vraag rijst of dit (nog) wel zo is? Is de raad zo alles bepalend? Er zijn aanwijzingen die anders doen vermoeden, en dat de raad op verschillende terreinen positie verliest en invloed moet delen met derden.
In dit verband worden met grote regelmaat de drie grote transities / decentralisaties in het sociale domein genoemd. Er wordt een fors deel van de AWBZ-voorzieningen overgeheveld naar de Wet maatschappelijke ondersteuning (WMO). Voor de uitvoering van die wet zijn de gemeenten verantwoordelijk. Gemeenten krijgen taken in de begeleiding van mensen met een beperking en bij persoonlijke verzorging aan huis. Ook de jeugdzorg wordt een lokale in plaats van een provinciale en landelijke verantwoordelijkheid. Hetzelfde geldt voor de Participatiewet. Gemeenten gaan proberen arbeidsongeschikten en inwoners met een bijstandsuitkering aan het werk te helpen.
Drie mega-opgaven voor de Nederlandse gemeenten, waaraan grote inhoudelijke,organisatorische en financiële risico’s zijn verbonden. Om een indicatie te geven: met de drie transities is (na een forse efficiencykorting) een totaalbedrag gemoeid van circa 16 miljard euro: een bedrag vergelijkbaar met de omvang van het gemeentefonds, het totale bedrag dat het rijk beschikbaar stelt aan de gemeenten. Gemeenten krijgen bovendien te maken met de medische sector. Een sector die zich laat leiden door eigenwetten en verantwoordelijkheden. Zijn de gemeenten voldoende geëquipeerd om hunnieuwe (regie)rol in de zorg voldoende krachtig vorm en inhoud te geven? En wat te denken van de eisen die de Inspectie voor de Gezondheidszorg stelt? Er moet immers voldaan worden aan tal van wetten en voorschriften. De administratieve lasten van de gemeenten en het Toezicht op de gemeenten zullen naar verwachting toenemen.Wethouders financiën moeten zeer alert zijn. Wanneer budgetten, en daarmee de risico’s, zo fors omhoog gaan is deugdelijk beleid en een goede democratische inbedding van de nieuwe taken essentieel.
Democratische controle
Als de raad de baas is, dan betekenen deze taken dus meer zeggenschap voor de
raad. Maar is dit wel zo? We lezen over de oprichting van kleine en soms grote regionale samenwerkingsverbanden van gemeenten om de complexe transities
het hoofd te bieden. De samenwerkingsverbanden nemen de uitvoering ter hand.
De gemeenten krijgen de taak, maar niet in alle gevallen de zeggenschap. Eerst worden taken van het rijk om inhoudelijke en financiële redenen gedecentraliseerd naar de gemeenten (dichter bij de burger en dus efficiënter is de redenatie) om vervolgens toch weer met bijna dezelfde argumentatie te worden opgeschaald/ gecentraliseerd (GR’s). Gemeenten zijn de laatste jaren steeds kritischer over dit soort samenwerkingsverbanden omdat ze door de nieuwe afstand die ontstaat het gevoelhebben grip op de inhoud en de financiën te verliezen.
Ook het veiligheidsdossier geeft voeding aan de gedachte dat de gemeenteraad de laatste jaren aan relevantie heeft ingeboet. Met de komst van de nationale politie lijkt de nationale aansturing te zijn toegenomen, ten koste van de lokale invloed op het veiligheidsbeleid.
Daarnaast is er de afgelopen jaren de nodige discussie geweest over het door degemeente gevoerde (risicovolle) grondbeleid. Veel wijst erop dat, door de complexiteit ervan en het feit dat veel afspraken tussen college en private partijen als voldongen feiten worden gepresenteerd, de invloed van de raad verder afneemt. De transities in het sociale domein, de komst van de nationale politie, het grondbeleid.
Drie onderwerpen waar je als burger graag invloed op uitoefent. Het gaat immers over de zorg die we krijgen, de veiligheid in onze buurt en de inrichting van onze leefomgeving. Maar hebben wij, kiezers, die invloed nog als we stemmen voor de gemeenteraad. Is de gemeenteraad nog wel een machtsfactor?
Volgens bestuurskundige en ROB-lid prof. dr. Marcel Boogers staat de rol van
de gemeenteraadsleden (gekozenen) onder druk. Een aantal ontwikkelingen is daar volgens hem debet aan. De eerste ontwikkeling is de grotere vervlechting
van het lokaal bestuur met beleidsnetwerken van bedrijven, instellingen en regionale besturen. Het is de verschuiving van government naar (multi level) governance. De focus van het besluitvormingsproces is niet langer gericht op enkel het gemeentehuis, maar veel meer op het samenspel tussen de verschillende overheden, het bedrijfsleven, organisaties, instellingen en burgers. De invloed van gemeenteraadsleden hierop (“democratic control”) is in de praktijk beperkt.
De tweede ontwikkeling is de verzwakte vertegenwoordigende rol van de gemeente- raadsleden (“representative function”). De opkomst bij de gemeenteraadsverkiezingen is in Nederland en de meeste andere Europese landen fors lager dan bij landelijke verkiezingen. Verder is het aantal mensen dat lid is van politieke partijen die raadsleden vertegenwoordigen, tot marginale proporties gedaald. Het is hierdoor voor gemeenteraadsleden steeds lastiger om met gezag namens hun inwoners te spreken.
Oplossingsrichtingen
Een uitweg kan volgens Boogers worden gevonden in een andere rolopvatting van gemeenteraadsleden, waarbij de kwaliteit van het besluitvormingsproces (waarbij betrokkenheid van belanghebbenden centraal staat) meer aandacht krijgt dan de uitkomsten ervan. De Raad voor het Openbaar bestuur spreekt in dit verband van “loslaten in vertrouwen voor gemeenteraadsleden”. Boogers spreekt over meta-governance: “the new role of local councillors is being defined as an empowering and enabling one”.
De VNG denktank “over maatschappelijke initiatieven die de overheid uitdagen” formuleert het anders: op tal van terreinen zijn we op zoek naar nieuwe oplossingen voor de grote uitdagingen die op ons afkomen. Op het gebied van economie, van voedsel, milieu, energie, mobiliteit, van gezondheid en vergrijzing. Mensen worden steeds mondiger. Internet zorgt voor talloze nieuwe verbindingen, global and local. En ook de manier waarop we de samenleving hebben georganiseerd is aan verandering onderhevig. De verticale lijn (het democratische huis van Thorbecke) en de horizontale netwerksamenleving staan steeds vaker met elkaar op gespannen voet. Een netwerksamenleving die constant in ontwikkeling is en waarin mensen steeds weer opnieuw hun eigen plaats en rol kiezen.
De overheid is al lang niet meer altijd aan zet. De publieke taak is steeds meer een publieke zaak, van burgers, ondernemers, zorginstellingen, kennisinstellingen, woningbouworganisaties. We zien steeds meer nieuwe initiatieven en samenwerkingsverbanden ontstaan. “Maatschappelijk initiatief”, “burgerparticipatie”, “participatiemaatschappij”, “van buiten naar binnen”, zijn inmiddels goed ingeburgerde termen in overheidsland. Maar hoe gaan we daar nou mee om? De denktank bespreekt in haar rapport een groot aantal maatschappelijke initiatieven.
Zij houdt een warm pleidooi voor de improviserende gemeente. De publieke zaak
is niet langer het monopolie van de overheid. Zij is in toenemende mate een zaak van de samenleving zelf. De Denktank is ervan overtuigd, dat het vinden van een nieuwe verhouding tot deze maatschappelijke initiatieven, om een andere rol van de gemeenten (bestuur en organisatie) vraagt. De lokale overheid moet zich steeds meer ontwikkelen tot een vehikel van de samenleving met behulp waarvan de samenleving in zichzelf investeert.
Volgens Maarten Hajer heeft de (gemeentelijke) overheid een wereld te winnen door de creativiteit en innovatiekracht van burgers en bedrijven beter te benutten. Door het denkkader van “groene groei” te verbinden met wat hij noemt “de energieke samenleving”, ontstaat een nieuw perspectief op de rol van de overheid: een overheid die een langetermijnkader biedt en kansen voor de samenleving creëert.
Being a local Councillor today, Congress of local and regional authorities; 26th Session of the Chamber of Local Authorities, Strasbourg, Palais de l’Europe, 26th March 2014, Prof. Dr. Marcel Boogers, University of Twente, The Netherlands, Dutch Council for Public Administration.
