Om de ontwikkelingen in ons vakgebied nauwkeurig te blijven volgen, interviewen wij iedere maand een audit, risk of compliance expert uit de praktijk. Daarbij stellen wij onder andere de vraag: welke ontwikkelingen zie je en hoe ga je daarmee om? In het tweede gesprek van deze serie praten we met Karin Nadels, die al bij meerdere organisaties de functie van Risk Manager bekleedde. Met enige regelmaat blogt Karin over haar leerervaringen en inzichten binnen het vakgebied risicomanagement; er verschenen al zo’n 20 blogs van Karin.
Ik ben me steeds meer gaan afvragen: waarom doen we het zo… en waar komt dat vandaan?
Sinds anderhalf jaar ben ik Risk Manager bij Holland Casino. Daarvoor vervulde ik diezelfde functie bij meerdere financiële instellingen. Als ik nu daarop terugkijk, zie ik dat men risicomanagement in de financiële sector vooral veel hetzelfde benadert. Iedereen doet dezelfde jaarlijkse risicoanalyses van de processen, met inschatting van ‘kans x impact’, maakt vervolgens de bijbehorende diagrammen en test vervolgens de (key) controls. Toezichthouders vinden deze standaard manier van werken ook altijd prettig en andere sectoren hebben het vaak één-op-één overgenomen, wellicht vanwege de herkenbaarheid? Ik voldeed hier ook altijd aan, maar ik ben me steeds meer gaan afvragen: waarom doen we het zo… en waar komt dat vandaan? Het volledige antwoord daarop heb ik nog niet, maar ik ben wel op onderzoek uit om dat antwoord te vinden.
Ben ik risicomanagement nu dan ook op een totaal andere manier gaan doen? Tot nu toe nog niet, ik heb de optimale manier nog niet gevonden (als die al bestaat), en in een moeilijke Coronatijd ga ik een organisatie niet belasten met experimenteren met nieuwe methoden. Eén van de belangrijkste vaardigheden van de risicomanager vind ik: weten wat er speelt binnen je bedrijf en weten wanneer je wél iets moet roepen, maar zeker ook wanneer je een pas op de plaats moet maken. Jij staat ten dienste van hen, niet andersom.
We zouden kunnen overstappen van absoluut inschatten naar relatief inschatten
Het eerste waar ik van af zou willen stappen, is de inschatting van kans x impact met een schaal van bijvoorbeeld 1-5. Hoe meer ik me daarin verdiep, hoe duidelijker het voor mij wordt dat wij mensen zo’n inschatting niet goed kunnen maken. Deze exercitie kost vrij veel tijd, maar het geeft in mijn overtuiging geen goed beeld van de risico’s. We kunnen er meer waarde uithalen door van absoluut schatten (1-5) over te gaan op relatief schatten. Bij relatief schatten kijk je of een risico groter of kleiner is dan een ander risico. Binnen de IT wordt er veel met relatief schatten gewerkt, bijvoorbeeld voor het inschatten van ‘hoeveel werk kost dit werkpakket mij, ten opzichte van een ander werkpakket?’. In Coronatijd, tijdens het thuiswerken, pikte ik die methode op van mijn man. Om deze methode heel praktisch te maken: wanneer we naar een boom kijken, zijn we vrij goed in staat om te zeggen of de ene boom groter is dan een andere boom en zo ja, hoeveel dan (bijvoorbeeld 1,5 keer zo groot). Daarin zijn we als mens vele malen beter dan in te schatten hoeveel meter diezelfde boom exact hoog is. Als we meer met deze vaardigheid gaan werken bij het inschatten van risico’s, kost het minder tijd en hebben we nog steeds een goede inschatting, misschien zelfs beter.
Slim nadenken over de relevante risico’s en bijbehorende aanpak
Ik schreef al eens een blog over strategische risico’s. Ik merk dat door de Coronacrisis de wens verder is toegenomen om de strategische risico’s als organisatie in kaart te hebben. Ik maak daarbij graag het onderscheid tussen risico’s die als hygiënerisico’s kunnen worden gezien (zoals cyber security en het voldoen aan de wet) en risico’s die volgen vanuit (de veranderende) organisatiestrategie. Hygiënerisico’s zijn er altijd en worden, als het goed is, geborgd in de (dagelijkse/maandelijkse/etc.) processen.
Daadwerkelijk strategische risico’s komen vanuit een geformuleerde strategie en zitten dus niet in die processen. Dit vraagt om een andere aanpak. Overigens is dit onderscheid niet zwart/wit, maar dat geeft niet; het gaat juist om de goede discussie hierover. Daarnaast ben ik geen voorstander van kopiëren en plakken: de risicolijst van het vorige jaar kan er dit jaar weer anders uit zien, dus verdiep je erin.
Voor de strategische risico’s ga ik graag persoonlijk met de directieleden in gesprek, omdat die risico’s hen raken. Met enige regelmaat zijn we vanuit risicomanagement aanwezig bij vergaderingen, voor een presentatie of het faciliteren van een discussie. En voor de beheersing van de risico’s praten we vervolgens uiteraard ook met de lagen onder de directie. Juist de input vanuit de verschillende organisatielagen draagt bij aan breed gedragen risicoverantwoordelijkheid, waarmee men echt aan de slag gaat.
Het hoort met name te draaien om de eerste lijn, waar het geld wordt verdiend en de echte expertise zit
Waar het om de inrichting van een bedrijf gaat, ben ik een voorstander van kleine staffuncties. Het hoort met name te draaien om de eerste lijn, waar het geld wordt verdiend en de echte expertise zit. Natuurlijk verschilt dit per bedrijf en is het geen doel op zich, maar het is wel een principe dat ik in mijn achterhoofd houd. Als risicomanager werk ik graag dicht op de eerste lijn. Recent rondde ik de postdoctorale studie Internal Auditing af aan de UvA. Ik heb die opleiding erg gewaardeerd. Onder andere vanwege de daarin neergezette visie richting datagedreven werken. Dit kan vele voordelen bieden zoals: de gehele populatie beoordelen in plaats van een deelwaarneming, of dat je op basis van beschikbare data al weet op welke risicogebieden je kunt inzoomen. Ik realiseer me wel dat het tijdig verkrijgen van de juiste, schone data bij veel organisaties nog een uitdaging is. Als je vandaag begint met het toewerken naar deze manier van werken, kun je er vaak al sneller mee aan de slag dan je had verwacht.
Anderzijds vind ik dat de RO-studie zich teveel richtte op modellen. Ik miste daarin: hoe zorg je ervoor dat je het model weet te vertalen naar de praktijk, zodat het je handvaten geeft en niet op zichzelf staand het einddoel wordt? Een model is immers niets meer dan een versimpelde weergave van de werkelijkheid: die laatste is altijd complexer dan een model je kan vertellen. En door die complexiteit is het de kunst om oplossingen te zoeken die passen bij het bedrijf, de mensen en het doel dat wordt nagestreefd. Het moet niet zo zijn dat men een halve dag bezig is met het invullen van lijstjes en niet meer toekomt aan het reguliere werk. Daarin is creativiteit wat mij betreft een belangrijke vaardigheid van de risico manager. Kunnen we het op een nieuwe, slimme(re) manier doen? Maar creativiteit is ook: ervoor openstaan dat je bepaalde zaken nog niet weet (‘weten dat je zaken nog niet weet’). Of modellen durven los te laten, als je (bijvoorbeeld) belangrijke elementen als cultuur, houding en gedrag wilt beschouwen. Bij dergelijke onderzoeken is trouwens ook het tonen van oprechte interesse enorm belangrijk, want zonder oprechte interesse te tonen, kom je niet tot het goede gesprek.
In de ideale relatie tussen Internal Audit en Risk Management zie ik twee separate functies, die allebei onder een ander bestuurslid vallen en onafhankelijk van elkaar opereren, maar wel een hele duidelijke signaalfunctie naar elkaar toe hebben. Ik kan aan de auditors vragen of ze een keer ergens dieper in willen duiken, door middel van een audit. Andersom kan de auditor iets aantreffen buiten de scope van de audit, wat belangrijke input is voor mij als Risk Manager. Of ze kunnen een issue doorgeven aan mij dat is ‘gesneuveld’ tussen de andere bevindingen, maar wel goed is om te weten.
Het ‘nieuwe’ risico managen
Succesvol ben je als risicomanager wanneer je ziet dat er stappen worden gezet ten opzichte van vorig jaar (een verbeterde beheersing, liefst in combinatie met efficiency). Maar vooral wanneer de directie en de managementlaag daaronder betere beslissingen kunnen nemen. Bijvoorbeeld over ‘welke projecten de grootste kans van slagen geven’ of ‘waar moet de energie van de mensen op de werkvloer vooral in worden gestoken?’. Dat vereist overigens wel dat je als risicomanager altijd goed voorbereid bent en to-the-point bent. Management heeft doorgaans zoveel op hun bord, laat hen zien waar de toegevoegde waarde ligt. Dit kan in risico mitigering zijn, maar ook in scenario planning en kansen vergroten. Dit neemt weerstand snel weg. Wat operationeel risico management betreft: blijf er alert op dat de beheersmaatregel niet een doel op zich is geworden; blijf redeneren vanuit het doel en het bijbehorende risico. Vergeet daarbij niet, dat ondernemen hand in hand gaat met risico’s nemen. Kansen moeten worden benut, zolang je maar weet welke risico’s daarbij horen. Dat is het andere principe wat ik aanhoud: denken vanuit ‘hoe vergroot je de kans van slagen?’, in plaats van alleen maar ‘hoe zorg ik ervoor het niet misgaat?’.
We zien de risico’s nog teveel als statisch. Maar een risico kan meer dan eens voorkomen en kan verschillende gevolgen hebben, die zich kunnen stapelen. De BowTie-methodiek kan je helpen om alle oorzaken en gevolgen van een risico in kaart te brengen, waardoor je helder inzichtelijk hebt waarop je invloed kunt uitoefenen. Ook denken we nog te veel in silo’s: risico’s en (externe) factoren kunnen ook elkaar beïnvloeden, daar waar ze nu als een lijstje worden benaderd en onderlinge invloed niet wordt meegenomen.
Een andere shift vindt plaats rondom cultuur, houding en gedrag. Deze onderwerpen komen gelukkig bij steeds meer bestuurders op de agenda te staan en men gaat de waarde ervan inzien. Die shift is wel belangrijk, want de risico’s zitten vooral in de mensen. Als er iets mis gaat, is het negen van de tien keer zo dat iemand niet helemaal oplette. Bijvoorbeeld: in het geval dat een bedrijf wordt gehackt of gegijzeld, is er hoogstwaarschijnlijk iemand vergeten zijn laptop te updaten of heeft op een onveilige link geklikt. Een praktisch voorbeeld: hotels die in de badkamer een sticker plakken met “73% van de gasten hergebruikt hun handdoek”. Dit leidt tot veel minder handdoeken die na één dag alweer gewassen moeten worden wat een kostenbesparing oplevert én een lagere milieubelasting. Deze methode wordt nudging genoemd.
Risicomanagement biedt voor mij nog vele kansen en uitdagingen. Ook valt er nog zoveel te leren. Momenteel ben ik me o.a. aan het verdiepen in de vele verschillende strategiestromingen en hoe ik bij operationeel en strategische risico’s meer gebruik kan maken van kwantitatieve methoden die meestal wat meer bij financieel risico management worden gehanteerd. En ik blijf alert op wat we kunnen leren van andere beroepsgroepen. Zo schreef ik recent een blog over hoe teams samenwerken in de Formule 1. Zeer interessant. Alles overziend, zie ik mezelf dus voorlopig nog met plezier werken in risicomanagement!