'Als je alleen naar de risico's vraagt, krijg je standaard antwoorden'

Zicht op de werkelijke risico’s ontstaat pas als een financial het risicomanagement uit de planning & control cyclus haalt. Voor het voeren van gesprekken over risico’s heb je rust nodig’, aldus Robert ’t Hart, directeur van Naris, docent risicomanagement aan de Universiteit Twente en docent van de cursus

‘We moeten leren omgaan met onzekerheden.
De wereld wordt steeds minder voorspelbaar.
De focus op steeds grotere organisaties heeft wellicht efficiency gebracht, maar ze tegelijkertijd steeds kwetsbaarder gemaakt. Ketens worden langer, de afhankelijkheid wordt groter. Tegelijkertijd gaan de ontwikkelingen in ICT steeds sneller. Die dynamiek is voor de publieke sector niet anders. Dat maakt risicomanagement steeds intrinsieker.

Waar vroeger vooral financiële risico’s werden afgevinkt en regels werden opgevolgd, zijn een aantal lokale overheden nu al duidelijk een stap verder. Wanneer er nu een project wordt gestart als bijvoorbeeld de Floriade wordt er een second opinion gezocht. Een gemeente die met veel stakeholders te maken heeft, vraagt zich af wie daarvan de meest risicovolle partner is. Ook een onderwerp als privacywetgeving leent zich voor die discussie. Met een risicobenadering kun je vaststellen welke beheersmaatregelen noodzakelijk zijn. De vraag is of je op alle niveaus een 10 moet halen. Misschien is een 6 ook goed. Sommige risico’s moet je accepteren. Doordat risicomanagement minder om regels gaat, zie ik een verschuiving in de positionering van risicomanagement. Van oudsher is het vooral het domein van de financial. Nu ontstaat er een tweede lijn die een dialoog organiseert. Dat kan bijvoorbeeld de manager van een afdeling zijn die bespreekt welke risico’s hun doelstellingen bedreigen.’

Toon ‘Deze cursus biedt financials een kans om zich te verbreden naar een heel actueel vakgebied. Wat zijn actuele risico’s in de maatschappelijke sector? Ik ben ooit begonnen als adviseur met het analyseren van risico’s bij gemeentes, woningcorporaties en andere overheidsorganisaties. Daaruit is in de loop der jaren een database ontstaan waaruit ik kan putten voor de cursus. Er is veel literatuur voor handen die je vertelt wat risicomanagement inhoudt, maar hoe breng je het in praktijk?

Een goede risicomanager weet de juiste toon aan te slaan. Hij moet de goede vragen stellen. Welke doelen heb je je als organisatie gesteld? Aan welke factoren meet je je succes af? Welke acties heb je ondernomen om beter te worden? Waarin was je minder succesvol? Je wil allereerst weten waarop het management stuurt. Pas dan kom je er achter welke factoren je doel verzwakt. Als je alleen maar vraagt naar de risico’s, krijg je standaard antwoorden. 

De gemiddelde manager wordt toch al bestookt met vragen naar risico’s, afkomstig van de juridische afdeling, ICT en kwaliteitsafdeling. De financial heeft daarbij het nadeel dat ieder gesprek direct over de cijfers gaat. Terwijl het bij risicomanagement juist over meer dan alleen financiële risico’s moet gaan. Daarom is het ook zonde van de tijd wanneer de financial als onderdeel van zijn planning & control cyclus risicoprofiellijstjes rond gaat sturen. Je moet juist uit die hectiek stappen. Reflectie gedijt het beste bij een zekere afstand.’