Risicomanagement – wat is de beste aanpak?

Vanmiddag had ik het met onze interne auditor over risicomanagement. Vanuit de Raad van Commissarissen was hem gevraagd de betrokkenheid van Directie en Management Team te waarborgen bij de risicoanalyse die hij uitvoerde. Terwijl we van gedachten wisselden over de beste manier om dit vorm te geven, schoot mij een anekdote over Tony Hayward te binnen.

Hayward was CEO van BP en had bij zijn aantreden risicomanagement tot zijn hoogste prioriteit gemaakt. Dit betekende dat er allerlei ‘rule-based’ maatregelen getroffen werden. Bijvoorbeeld dat medewerkers van BP niet met koffie mochten lopen zonder dat er een deksel op de koffiebeker zat. Ditzelfde BP was, onder leiding van Hayward, verantwoordelijk voor de enorme olieramp met de Deepwater Horizon in de Golf van Mexico!

Hoe voorkom je nu dat risicomanagement verwordt tot het uitvaardigen van allerlei regeltjes, in plaats van te stimuleren dat men over risico’s nadenkt, bewuste afwegingen maakt en ernaar handelt? In mijn ervaring is de eerste stap van risicomanagement om onderscheid aan te brengen tussen de doelstellingen van een onderneming die ‘at-risk’ zijn & de bedreigingen. Maar als je deze twee gaat koppelen (meestal met een inschatting van waarschijnlijkheid en impact), lopen rijp en groen als snel door elkaar. Van overstromingen tot het onderling uitwisselen van wachtwoorden; van terroristische aanslagen tot diefstal van een paar pennen.

Eén van de beste aanpakken is afkomstig van Robert S. Kaplan in zijn artikel over risicomanagement: Managing Risks: a new framework in de Harvard Business Review (bovenstaande anekdote is ook uit dit artikel afkomstig). De kern van de aanpak is dat Kaplan drie soorten risico’s onderscheidt en deze alle drie op een eigen manier benadert.

Categorie I zijn vermijdbare risico’s. Dit zijn risico’s die voortkomen uit de interne organisatie. Deze risico’s zijn te beheersen en omdat zij niets toevoegen, is het wenselijk dat ze geëlimineerd worden. Eigenlijk zijn dit de risico’s die wij in Nederland onder de klassieke Interne Controle (IC) scharen. Naar mijn mening zijn voorbeeldgedrag en het stellen van duidelijke grenzen door het hoogste management hierbij de belangrijkste maatregelen.

Categorie II zijn de zogenaamde strategische risico’s. Dit zijn risico’s die een onderneming bewust is aangegaan, omdat zij verwacht daardoor rendement te kunnen behalen. Graydon is bijvoorbeeld dagelijks bezig met kredietrisico. De klanten lopen kredietrisico omdat zij ervoor kiezen. De centrale vraag voor dit type risico is: hoe monitor je deze risico’s en waar tref je maatregelen om het risico terug te brengen.

Categorie III zijn de externe risico’s. Risico’s van buitenaf die niet te beïnvloeden zijn. Deze categorie is door Donald Rumsfeld ooit aangeduid als ‘unknown unknowns’. Hieronder vallen allerlei soorten rampen en ontwikkelingen met grote en onmiddellijke impact. De aanpak die hiervoor wordt voorgesteld is een onder andere een scenarioplanning.