Waaghals, dromer, stuntman of controleur?

Iedere organisatie doet aan risicomanagement

De echte risicomanagement puristen hanteren graag de doordachte definities volgens bijvoorbeeld COSO of ISO 31000. Een andere invalshoek zorgt volgens hen al snel voor uitholling van het vakgebied en maakt van risicomanagement niets meer dan een containerbegrip. Iets waarvoor we moeten waken. Feit blijft dat iedere activiteit gericht op het beheersen van een risico, hoe klein dat risico of de activiteit ook is, een vorm van risicomanagement is. En daarom doet iedere organisatie, geen enkele uitgezonderd, aan risicomanagement. Ieder beslisproces in het hoofd van een ondernemer, waarbij voors en tegens tegen elkaar worden weggestreept, is risicomanagement. Iedere verzekering die wordt afgesloten, is risicomanagement.

Risicovolwassenheid

De vraag is op welk niveau risicomanagement binnen een organisatie wordt toegepast. We noemen dat de risicovolwassenheid, ofwel de risk-maturity, van een organisatie. Een lage risicovolwassenheid betekent dat er geen specifiek risicomanagementbeleid wordt gevoerd en dat er ad-hoc met risico’s wordt omgegaan. Een hoge risicovolwassenheid betekent dat de organisatie risicomanagement hoog op de agenda heeft staan en hier op professionele wijze invulling aan geeft.

Is een hoge risicovolwassenheid altijd beter?

Voor een (externe) risicoconsultant is het natuurlijk prachtig wanneer de risicovolwassenheid van zijn klant onder zijn leiding het hoogst mogelijke niveau bereikt. Maar is hoger ook altijd beter? Ongetwijfeld in veel gevallen wel, maar misschien is het succes van sommige organisaties juist te danken aan hun impulsiviteit. Is het dan nodig om allerlei controlemechanismes en beheersmaatregelen te implementeren? Past een hoge risicovolwassenheid in zo’n geval dan wel bij de cultuur van de organisatie?

Risicobereidheid

Daarom is het belangrijk om ook oog te hebben voor de risicobereidheid, of risk-appetite, van de organisatie. Is de organisatie bereid veel risico te nemen in de jacht op de doelstellingen (hoge risicobereidheid), of vaart men liever een veilige koers (lage risicobereidheid)? Een lage en hoge risicobereidheid kunnen we verbinden met een hoge en lage risicovolwassenheid. We krijgen dan de volgende combinaties:

Lage risicobereidheid & lage risicovolwassenheid (dromer)

Wanneer een organisatie niet of nauwelijks bereid is risico te lopen, maar daarbij niet of nauwelijks activiteiten onderneemt om risico’s te beheersen, dan typeer ik zo’n organisatie als een dromer. Wanneer je geen risico’s wilt lopen, moet je je risico’s onderzoeken en hierop maatregelen treffen. Doe je dat niet. Tja… slaap lekker.

Lage risicobereidheid & hoge risicovolwassenheid (controleur)

Een organisatie die een lage risicobereidheid combineert met een hoge risicovolwassenheid wil in controle zijn. Dit is natuurlijk prima, maar waak er voor dat hierin niet wordt doorgeschoten en met het dichttimmeren van alle risico’s ook alle spontaniteit en creativiteit verdwijnt. Dat is weer een risico op zich.

Hoge risicobereidheid & lage risicovolwassenheid (waaghals)

Sommige mensen durven alles. Zij leven voor de kick en de bijbehorende adrenaline stoot. Aan de rand van de afgrond groeien de mooiste bloemen, maar als je niet voorzichtig bent wanneer je die bloemen van dichtbij wilt zien, kan het op een dag fout gaan. Een waaghals heeft niet de langste levensduur.

Hoge risicobereidheid & hoge risicovolwassenheid (stuntman)

In tegenstelling tot een waaghals, treft een (professionele) stuntman alle mogelijke voorzorgsmaatregelen om zijn stunts uit te voeren én na te kunnen vertellen. Risico’s mogen genomen worden maar niet zonder vangnet.

Nieuwe definitie

De vraag die een risicoconsultant aan zijn klant kan stellen, is: “Wat ben je, een waaghals, een dromer, een stuntman of een controleur? En wat zou je graag willen zijn?”. Zo kan de risicoconsultant zijn dienstverlening met weer een nieuwe definitie samenvatten: “Risicomanagement is de dienstverlening die de gewenste risicovolwassenheid van organisaties in balans brengt met de gewenste risicobereidheid.” Het maakt natuurlijk niet uit welke definitie je gebruikt, zolang risicomanagement maar een waardevolle bijdrage levert aan de doelstellingen van de organisatie. Want wanneer dat niet gebeurt, past iedere definitie in een container.