Risico heeft twee gezichten. Het ene gezicht heeft vooral oog voor haalbare voordelen, wat doorgaans risico met zich meebrengt. De echte ondernemer zal zich hierin herkennen. Het andere gezicht richt zich op het zo laag mogelijk houden van het risico, zodat schade wordt vermeden. Vooral kredietverstrekkers hebben deze kant helder op het netvlies. De balans hiertussen, en de maatregelen die nodig zijn om een goed evenwicht te bereiken, werden onlangs besproken in de ronde tafelsessie met de titel: No risk, no glory.
Auteurs: Jeroen Simons en Toby Boerlage
Tijdens een bijeenkomst in ‘De Boerderij’ van i-to-i te Driebergen schoven recent leidinggevenden en security experts uit verschillende branches – waaronder overheid, zorg, financieel en farmacie – aan tafel om samen met twee sprekers verdieping te vinden in risicobeheer. De centrale vraag luidde: hoe kan ik vanuit de dagelijkse praktijk reageren en anticiperen op risico’s? Tijdens het eerste deel van de discussie werd ingegaan op ‘No risk’, het voorkomen en beheersen van risico’s. Daarna kwam het gezicht van ‘No glory’ in beeld, waarbij de zin en onzin van risicobeheersing nader werd onderzocht. Quizmasters, de Snowden case en rampen met kerncentrales dienden als figuurlijke sloophamers in de discussie.
Geen vergelijk
Karakteristiek voor het thema bleek de diversiteit in het beoordelen van risico’s. Per branche, organisatie en persoon zijn de verschillen zodanig groot dat risicobeoordelingen vanuit hun eigen context en belang niet met elkaar kunnen worden vergeleken. Het aansluiten van patiëntbewakingsapparatuur op het wifi-netwerk van een ziekenhuis is zeker een risico. Maar voor wie? De ‘glory’ zit in de mogelijkheid om gegevens direct en centraal te monitoren en te analyseren. Maar voor wie zijn de gegevens toegankelijk? Welke schade kan er ontstaan? En is die niet anders voor de patiënt dan voor het ziekenhuis?
Andere voorbeelden:
- Bij het inzetten van een niet-standaard applicatie ervaart de business vooral glory. Maar de it-manager, die een steeds complexer landschap onder zijn hoede heeft, ziet vooral de nadelen.
- Operatie op afstand kent glory voor ziekenhuizen en de leverancier van de apparatuur. Voor de patiënt en de chirurg ligt dat, zeker gevoelsmatig, anders. Zo ook voor de netwerkleverancier.
- Een kerncentrale heeft hoge glory en een laag risico, omdat de kosten van een ramp boven een bepaalde limiet door de overheid gedragen worden. De buren van de centrale kijken daar anders naar. Zij geven minder om de kosten maar meer om de gevolgen voor hun gezondheid als zich een ramp voltrekt.
Zienswijzen
Risico’s zijn dus in hoge mate afhankelijk van context, de betrokken persoon of personen en diens/hun gevoelens. Het is dan ook geen wonder dat het met risicomanagement zo moeizaam gaat. Verschillende beelden, verwachtingen en uitgangspunten vervagen het onderscheid tussen glorie en scha(n)de. Risico’s en maatregelen om de risico’s te benutten of te onderdrukken sluiten niet aan op de wensen van de andere partijen. Welke zienswijze is het juiste? En wie bepaalt dat? In eerste instantie gaat het om het actief delen van de diverse zienswijzen en belangen. Openstaan voor de aanvaardbare verliezen en beoogde winsten van de andere partij. Het diverse perspectief en het delen van mentale modellen leidt tot betere risicobeoordelingen. Tenslotte geldt: ‘More different minds are always better than more of the same minds’. Dat ook de maatregelen daardoor beter zijn, lijkt een open deur. Maar wie veronderstelt dat daarmee de discussie afgerond is, juicht te vroeg.
Wederzijds begrip
Tijdens de ronde tafelsessie bleek eens te meer dat, ongeacht de aard van het risico en de oplossing, de crux vooral zit in wederzijds begrip, de bereidheid om buiten eigen kaders en belangen te denken en een gezamenlijk doel na te streven. De projectleider ziet risico’s in het overschrijden van tijd en geld. De operationeel manager is bevreesd voor een onvoltooid projectresultaat dat leidt tot operationele misère. Klaarblijkelijk maakt de verscheidenheid van belangen het vooral moeilijk om de optelsom te maken en eigenbelang ondergeschikt te maken aan het gezamenlijke belang.
Zeven aanbevelingen
De conclusies die de deelnemers uit de discussie hebben getrokken zijn – hoe kan het ook anders – gebaseerd op de dagelijkse praktijk in hun werkveld. Ze zijn daarom ook bruikbaar voor andere organisaties, die de omgang met risico’s willen verbeteren en risicomanagement als een normaal managementproces naar een hoger plan willen brengen. Wilt u hier stappen in maken dan is het goed begin om uzelf de volgende vraag te stellen: “Hoe gaat mijn organisatie om met risicobeheer?” Al met al kunnen we uit de ronde tafelsessie de volgende zeven aanbevelingen in dit kader destilleren:
- Risico awareness is een cruciaal onderdeel van cultuur en gedrag. Zorg ervoor dat medewerkers begrijpen dat risico’s nuttig zijn. Ze helpen scha(n)de te voorkomen en kansen te benutten.
- Maak het belang voor het primaire business-proces en de impact daarop leidend in de optelsom van belangen.
- Zorg voor een top-down beleid als fundament voor risicomanagement. Weet wat je wilt bereiken en zorg vervolgens voor actieve betrokkenheid en naleving op en door alle niveaus.
- Organiseer risicomanagement als onderdeel van het reguliere managementproces en dus niet als aparte discipline.
- Wijs een formele risico-eigenaar aan, met voldoende mandaat. En spreek die ook daadwerkelijk aan op beheersing.
- Boodschappen omtrent risico’s moeten relevant zijn voor de ander en eenvoudig te begrijpen.
- Tot slot: No risk, no glory: risico’s horen er gewoon bij.
Over de auteurs:
Jeroen Simons is consultant bij Ideas to Interconnect
Toby Boerlage is directeur bij Ideas to Interconnect