Laat ik deze blog eens beginnen met hoe het níet moet. Of andersom: hoe je eenvoudig frictie creëert. Stel je de volgende casus eens voor: De Risk Manager in organisatie X is verantwoordelijk voor ‘het risk management’. Hij is net begonnen en ziet dat er weinig gebeurt aan Risk Management. Gelukkig heeft hij (of: zij) erop doorgestudeerd en weet precies hoe GRC met behulp van COSO ERM en ISO31000 geïmplementeerd moeten worden. In no-time zal hij de organisatie wel even in het GRC tijdperk laten belanden! Hij heeft alles netjes uitgewerkt in trainingsmateriaal en met goed uitgewerkte definities en aanpakken probeert hij de organisatie te overtuigen van het nut van risk management en wat er allemaal moet gebeuren. Doel is de organisatie op korte termijn te laten certificeren tegen ISO31000. De directie/RvB van de organisatie krijgt grote lijsten van risico’s te zien, die worden opgesteld door uitvragen en risico workshops door heel de organisatie. Een legertje van risico consultants zorgt voor verwerkingscapaciteit, om alles in Excelsheets en databases te verwerken. Alle risico’s worden voorzien van mitigatie maatregelen, verantwoordelijken en deadlines. Escalatie procedures zijn opgesteld en accountables aangesteld die ter verantwoording worden geroepen, liefst via de bonus score cards.
Dit is een scenario uit de praktijk, vol met boekenwijsheid en her en der een beetje los van de realiteit. Als ik dit in de praktijk zie, dan zie ik vaak frictie, geen flow. Dit leidt tot ontevreden organisaties en ontevreden Risk Managers.
Hoe komen we nu van frictie naar flow? Een aantal handvaten om meer flow te creëren:
- Realiseer je dat de Risk Manager waarschijnlijk een van de weinige managers is in de organisatie die een hele boel doet, behalve risico’s managen! Dat moeten de business leaders namelijk zelf doen. De Risk Manager heeft idealiter een bescheiden rol, meer een coach, sparring partner, opstart-hulp en verzamelaar van informatie. Zorg voor ownership bij de business leaders, dan gaat Risk Management vanzelf leven.
- Praat de taal van de ‘echte’ risk managers: de directeuren en managers die de risico’s moeten mitigeren. Hebben ze de mond vol van Performance, zorg dat ze snappen dat risk management hetzelfde is als Performance Management. Is ‘Vaart Maken’ het woord van de dag, leg dan uit dat het fijn is als je Vaart Maakt, dat je dan in de bochten wel een beetje kunt bijsturen. Praten ze alleen over Agile, verzin dan een Agile Risk Management methode. Maar bovenal: maak duidelijk dat het niets bijzonders is maar ‘part of their job’.
- Als je toch met definities aan de slag gaat, realiseer je dan dat risico’s niet alleen bedreigingen omvat, maar ook kansen. Speel eens met een Opportunity Chart (itt de Risk/bedreigingen Heat Chart). Misschien wordt het niks maar de organisatie zal je waarderen voor de moeite om ook naar kansen te kijken.
- Ontwikkel je ‘elevator pitch’, bijvoorbeeld met one-liners als: “als je als manager iets doet wat niet te maken heeft met risico’s managen, stop er dan direct mee”, “Dus je wilt alleen maar gas geven? Denk je niet dat Jos Verstappen heel blij is dat hij niet alleen maar een gaspedaal heeft maar ook een stuur en een rem?”.
- Gebruik ‘baby steps’: Steeds kleine stapjes en blijf weg van ‘moeilijke dingen’. Een bedrijf (of: afdeling) runnen is al moeilijk genoeg. Jouw kracht is de tijd. Hou vol, steeds de wortel een stukje verder houden en help ze kleine stapjes maken. Iedereen wil leren en nieuwsgierigheid zit in de aard van de mens, maar overdrijf het niet. Alles is relatief. Een klein stapje in jou ogen kan een grote stap zijn voor een ander.
- Wees alert op succes. Je merkt dat je succesvol bent als (een deel van) de organisatie harder gaat dan je dacht. Dingen worden als het ware uit je handen getrokken en je krijgt het gevoel dat dat je er geen controle meer over hebt. Dat is, hoe gek het ook klinkt, juist goed. Het betekent dat de business aan de bal is en in plaats van aanvoerder te zijn van het team, kun je de rol van de coach oppakken. Laat het gebeuren, de wedstrijd moet ook zonder jou gewonnen kunnen worden.
- Gebruik het principe van ‘naming & faming’. Gebruik een Hall of Fame achtige voortgangsrapportage waar de aandacht wordt gericht op de succesvolle organisatieonderdelen. Die managers die het op de een of andere manier goed doen. Geef hen de tijd en de aandacht zodat ze het nog beter gaan doen. Zoek managers die jou snappen en die het goed doen; gebruik ze als voorbeelden waar het goed gaat. Ga niet lopen duwen en trekken. Niemand wil onderaan in het lijstje staan, die komen vanzelf en als ze je bellen, weet dan: Dat je flow gecreëerd hebt.
Carlo Bavius is aan AuditPeople en RiskPeople gelieerd als adviseur en interim manager. Carlo richt zich met ruim 25 jaar ervaring op het Internal Audit en Risk/GRC vakgebied.