Waarom risicomanagement?
Geen overbodige vraag: waarom starten organisaties eigenlijk met risicomanagement? Doen ze dat omdat het moet? Wordt het hen door wetgeving, zoals bijvoorbeeld AVG, opgelegd vanuit de overheid? Ontstaat risicomanagement door een aantal opgetreden risico’s waar ad hoc op is gereageerd? Of wil men als organisatie de doelen en prioriteiten scherp afbakenen? Het antwoord is meerduidig: er zijn meerdere redenen waarom men kiest voor structurele implementatie van risicomanagement. Voordat hiermee gestart wordt is het essentieel na te gaan wat de drijfveren zijn, en welke doelstellingen met de implementatie beoogd worden. In deze fase is het daarom van belang dat de organisatie zich informeert en laat ondersteunen:
- Wat zijn de belangrijkste drijfveren voor de implementatie van risicomanagement?
- Waar gingen zaken in het verleden fout en waarom?
- Wat doen we op deelgebieden al aan risicomanagement?
- Welke kennis is aanwezig met betrekking tot risicomanagement en welke niet?
- Hoe zit het met de verdeling van taken, bevoegdheden en verantwoordelijkheden?
- Wie moeten deel uitmaken van het projectteam dat verantwoordelijk is voor de implementatie van risicomanagement?
Plan Do Check Act – PDCA cyclus
Op basis van deze analyse kan vastgesteld worden op welke wijze en met welke fasering risicomanagement in de organisatie wordt ingevoerd. Een belangrijk aandachtspunt en één van de voorwaarden voor succes is om zoveel mogelijk bij bestaande processen en initiatieven aan te sluiten.
Uitvoeringsfase
Op basis van stap 1 gaat de uitvoeringsfase van start (advies winnen ten behoeve van de implementatie van risicomanagement en het opstellen van een bijbehorend stappenplan). Na goedkeuring kunnen er concrete stappen genomen worden voor de implementatie van risicomanagement:
Denk hierbij aan de volgende stappen:
- Het opstellen van een beleids- of implementatieplan risicomanagement, waarin onder andere ingegaan wordt op de doelstellingen, randvoorwaarden en de te hanteren methodiek
- Het opstarten van de communicatie rondom risicomanagement en het verkrijgen van bestuurlijk draagvlak voor de werkwijze
- Het samenstellen van een projectteam risicomanagement en het trainen van de mensen in het projectteam
- Het uitvoeren van de eerste risicoanalyses door het projectteam. Kies hierbij voor kleinere projecten waarbij successen van risicomanagement duidelijk naar voren komen
- Het implementeren van een ondersteunend systeem (NARIS-systeem) ten behoeve van de borging van risicodata
- Het geven van interne presentaties door het projectteam waarin ingegaan wordt op de visie met betrekking tot risicomanagement en de voordelen die dit biedt. Doel: het verkrijgen van draagvlak
- Het zorgen voor sponsoren binnen management en MT. Het vieren van behaalde successen
In deze fase is vaak een beperkt aantal individuen actief bezig met de implementatie van risicomanagement. De methodiek voor risicomanagement is nog niet geformaliseerd, maar wordt getest en verbeterpunten worden aangegeven. Dit betekent concreet dat niet alle risico’s benoemd zijn en de beheersing nog niet optimaal is. Wel wordt duidelijk of de gekozen methodiek werkt en waar verbetering noodzakelijk is (het probleem kan bijvoorbeeld schuilen in de communicatie rondom risico’s). In deze fase is het vieren van de successen essentieel: wat heeft het ons nu al opgeleverd? Door stil te staan bij wat er al bereikt is wordt het draagvlak, en daarmee de kans op succes, vergroot.
Verbeterfase
Nadat het risicomanagement proces bij een aantal individuen in de organisatie geborgd is, is het van belang meer en meer mensen bij de implementatie ervan te betrekken. Naarmate het begrip ten aanzien van risicomanagement stijgt, kunnen risico’s beter benoemd worden. Als gevolg kan er daadwerkelijk gestart worden met de beheersing van deze risico’s.
In de verbeterfase gaat het dan ook om:
- Het verbeteren van bestaande risicoanalyses en het genereren van inzicht in verbanden tussen risico’s
- De inbedding van risicomanagement binnen de organisatie en de koppeling van risico’s aan verantwoordelijkheden
- Het optimaliseren van de beheersing van risico’s door te kijken naar synergie en afbreuk-effecten van maatregelen binnen verschillende afdelingen
- Het centraliseren van de beheersing van belangrijke procesrisico’s door het formuleren van concrete organisatiebrede verbeterprojecten
- Professionalisering en contractvorming met andere partijen
- Aansluiting bij brede organisatieontwikkeling
Aan het einde van de verbeterfase is het risicomanagementproces geoptimaliseerd. Risicoanalyses worden op structurele wijze uitgevoerd binnen de organisatie, en het risicomanagement is een standaard onderdeel in het organisatieproces geworden. Het risicomanagementbeleid is geformaliseerd en procedures zijn bekend en worden toegepast. De voordelen van risicomanagement worden nu zichtbaar binnen de gehele organisatie.
Verankeringsfase
De verankeringsfase: hoe blijven we verbeteren? In de verankeringsfase gaat het om continue verbeteringen. Niet alleen ten aanzien van het risicomanagementproces, maar met name om de aansluiting van risicomanagement met andere onderdelen /processen binnen de organisatie te garanderen.
In deze fase gaat het om:
- De koppeling van risico’s aan KPI’s (kritieke prestatie indicatoren) en het ontwerpen van KRI’s (kritieke risico indicatoren)
- Het verbeteren van de koppeling tussen operationeel, tactisch en strategisch risicomanagement
- Het mogelijk maken van strategische sturing op basis van risico’s
In de verankeringsfase is er sprake van een risicobewuste houding in de gehele organisatie. Het management past proactief risicomanagement toe: risico informatie wordt continu ontwikkeld en toegepast om processen en besluitvormingte verbeteren en de kans op succes in projecten en operationele activiteiten te vergroten. In deze fase heeft het risicomanagement een duidelijke plaats in de organisatie en is belegd bij een specifieke groep. Deze groep communiceert richting management ten aanzien van gesignaleerde risico’s, ook buiten de formele communicatiekanalen om. Binnen de organisatie vindt voortdurend training rondom risicomanagement plaats en waar nodig worden verbeteringen aangebracht in het risicomanagementproces.
Tot slot
De tijd die organisaties nodig hebben voor een succesvolle implementatie en verankering van risicomanagement is allereerst afhankelijk van het lerend vermogen van de organisatie. Daarnaast vereist het creëren van risicobewust gedrag veelal een verandering in houding en gedrag (zowel van medewerkers als van het management). Dit betekent dat er ook in de verankeringfase continu gestuurd moet worden op het belang van een risicobewuste houding en risicobewust gedrag. Dit kan bijvoorbeeld door deze vaardigheden op te nemen in competentieprofielen en risicobewust gedrag te belonen.