In hedendaagse organisaties werken verschillende soorten controllers. Ze hebben verschillende namen en verschillende taken en verantwoordelijkheden. Die zijn niet altijd even helder en vaak complementair. De concern controller, eindverantwoordelijk voor de planning en controlcyclus in de organisatie, is de sparring partner van het bestuur of de directie. De business controller is een toekomstgerichte ‘kritische vriend’ van managementteams en helpt met het implementeren van de uitgezette strategieën.
De verantwoordelijkheid voor de financiële rapportage en de stuurinformatie ligt bij de financial controller. Gezamenlijk staan deze controllers voor het doeltreffend, doelmatig en rechtmatig omgaan met de financiële middelen van de organisatie. De interne risicobeheersings- en controlesystemen zouden hen daarbij moeten ondersteunen. Om die systemen goed te laten werken is er ‘input’ nodig uit de organisatie, ofwel actuele en relevante risico-informatie. En daar gaat het nogal eens schuren.
Integraal omgaan met risico’s: door iedereen
In 2017 verscheen het sterk aangepaste COSO-ERM raamwerk voor risicomanagement. Dit internationale raamwerk wordt veel gebruikt door de grotere Nederlandse bedrijven en overheidsinstellingen. Het leest als één groot pleidooi voor het integreren van risicomanagement in alle activiteiten en processen van de organisatie. Een veelzeggend citaat: ‘Integrating enterprise risk management with business activities and processes results in better information that supports improved decision making and leads to enhanced performance.’
Dit betekent volgens het COSO-raamwerk dat iedereen in de organisatie risicomanager zou moeten zijn: ‘Everyone is a risk manager.’ Een opvatting die elders in de organisatie nogal eens de wenkbrauwen doet fronsen: ‘Daar hebben we toch aparte risicomanagers, of op z’n minst controllers voor?’ Een betere vertaling is dan ook van iedereen risicomanager naar iedereen risicoleider, waarbij risicoleiderschap tonen niets anders is dan het steeds weer doelgericht omgaan met risico’s in dat wat je al doet. In tegenstelling tot risicomanager of controller is risicoleider geen functie. Een risicoleider is wel een rolmodel in het expliciet, realistisch, gestructureerd omgaan met onzekerheden, risico’s en kansen om de beoogde doelen van de organisatie te helpen realiseren.
Van verdediging naar verantwoording
Naast de opvatting dat omgaan met risico’s iedereen in de organisatie aangaat heeft de vernieuwde COSO-ERM benadering nog een opvallende verandering ten opzichte van het verleden in petto. De naamgeving voor de veelgebruikte structuur voor risicobeheersing, de zogenoemde three lines of defence, is gewijzigd in een three lines of accountability.
De focus verschuift hierbij van het verdedigen tegen risico’s naar afleggen van verantwoording over het omgaan met risico’s. De verantwoordelijkheid voor het omgaan met risico’s ligt hierbij nadrukkelijk in de eerste lijn, de lijnorganisatie, de businessunits of afdelingen. Daar ligt immers ook de verantwoordelijkheid voor het realiseren van de organisatiedoelen, die door optredende risico’s worden beïnvloed. De tweede lijn, bijvoorbeeld de afdeling bedrijfsvoering met de controllers, faciliteert de eerste lijn hierbij. De auditors in de derde lijn monitoren dit proces en geven suggesties voor bijsturing en aanpassing van de risicomanagementprocessen.
In deze benadering van risico-verantwoordelijkheden en daarmee risico-eigenaarschap is het essentieel dat de controllers hun eigen rol beperken tot het faciliteren van risicomanagement. En dus niet in de valkuil van het uitvoeren van risicomanagement tuimelen. Dat uitvoeren van risicomanagement is immers aan de lijn. Hetzelfde geldt overigens voor risicomanagers en risicocoördinatoren. Ook zij zouden zich moeten beperken tot een louter faciliterende rol, waarbij ze natuurlijk wel hun expertise over effectieve risicomanagementprocessen kunnen inzetten.
Controller: stap in je voorbeeldrol
Wat betekent dit allemaal voor controllers? Dat ze de rest van de organisatie niet onbedoeld en onbewust voor de voeten lopen, door de uitvoering van risicomanagement over te nemen van de rest van de organisatie. Wat dan wel? Dat ze de units en afdelingen in de eerste lijn helpen, faciliteren, ondersteunen met het effectief omgaan met risico’s in al hun dagelijkse activiteiten. Hierbij helpt een aantal vaardigheden voor risicoleiderschap, die controllers zichzelf kunnen aanleren.
Zo kunnen controllers als risicoleider een voorbeeldrol vervullen voor de rest van de organisatie. Vervolgens kunnen ze de anderen in de organisatie – directieleden, managers, inhoudelijke professionals – helpen om zich die vaardigheden ook eigen te maken. Zo ontstaat stap voor stap een organisatie waarin iedereen risicoleiderschap kan tonen. Dit om de organisatiedoelen te realiseren, ondanks alle dynamiek en onvoorspelbaarheid waar veel organisaties, privaat en publiek – mee hebben te doen.
De risicomanager | De risicoleider |
1 Doet aan risicomanagement | 1 Werkt risicogestuurd |
2 Heeft risico's als focus | 2 Heeft doelen als focus |
3 Objectiveert en kwantificeert | 3 Subjectiveert en kwalificeert |
4 Beheerst risico's | 4 Gaat om met risico's |
5 Benut modellen | 5 Benut processen |
6 Is een staffunctie | 6 Is een rolmodel |
Figuur 1 geeft de verschillen aan tussen de traditionele risicomanager – met taken die nogal eens door de controller worden uitgevoerd – en de hedendaagse risicoleider. Een risicoleider werkt risicogestuurd met doelen als focus. Risico’s worden gesubjectiveerd, waarbij verschillen in risicoperceptie bespreekbaar zijn. Omgaan met risico’s betekent dat risico’s ook bewust kunnen worden geaccepteerd of zelf opgezocht, om doelen te realiseren. Een risicoleider voegt dit toe in bestaande processen en activiteiten. Hij of zij vervult hierbij een rol, als onderdeel van zijn of haar functie, bijvoorbeeld als controller.
Basisvaardigheden voor risicoleiderschap
Hoe word je een risicoleider? Is dat iedereen gegeven, of vraagt dit een speciaal aangeboren talent? Ja, het is iedereen gegeven en nee, er is geen specifiek talent voor nodig. Hoewel de ene persoon er meer aanleg voor heeft dan de andere. Maar met de bereidheid tot wat persoonlijke ontwikkeling kan iedereen in de organisatie risicoleiderschap ontwikkelen. Dus ook de controller.
Voor het ontwikkelen van risicoleiderschap is wel een sprong in het diepe nodig, zo leert de ervaring. Een sprong in de diepten van ons brein. Om zo inzicht te krijgen in onze drie psychologische basisbehoeften. Deze basisbehoeften zijn de behoefte aan geborgenheid, aan autonomie en aan erkenning. Het probleem is dat deze behoeften continu met elkaar botsen. Zo vraagt geborgenheid om veiligheid, en daarmee om het mijden van onzekerheden en risico’s. Autonomie betekent vrijheid. Dat vraagt vaak om het nemen van risico’s. Bij erkenning gaat het om balanceren tussen je enerzijds onderscheiden en anderzijds in verbinding blijven met de anderen in de organisatie: je collega-controllers, het management, de inhoudelijke professionals.
Deze basisbehoeften sturen in belangrijke mate ons gedrag bij het omgaan met onzekerheden, risico’s en kansen. Vaak is dit onbewust gedrag, waarvan we ons met wat oefening wel degelijk bewust kunnen worden. De persoonlijke ontwikkeling van risicoleiderschap begint dus met het herkennen en erkennen van je eigen psychologische basisbehoeften, en wat dat in de werkpraktijk betekent voor jouw eigen omgaan met onzekerheden, risico’s én kansen. Vervolgens kun je anderen hiermee helpen.
Margriet Sitskoorn is hoogleraar klinische neuropsychologie aan de Universiteit van Tilburg. Zij doet al jarenlang onderzoek naar vaardigheden om succesvol te kunnen werken in een dynamische, onzekere, complexe en ambigue werkomgeving. De zogeheten prefrontale hersenschors van ons brein blijkt essentieel om succesvol te kunnen werken in een dynamische werkomgeving. Daarom wordt dit deel ook wel het executieve brein genoemd. Samen met de bijbehorende netwerken zorgt dit deel van de hersenen voor onze executieve vaardigheden. Dit zijn vaardigheden als je aandacht richten, vasthouden, verdelen en weer loslaten. Andere executieve vaardigheden zijn je emoties reguleren en impulsen onderdrukken in een omgeving vol verleidingen. Flexibel omgaan met onverwachte veranderingen is ook zo’n vaardigheid. Deze vaardigheden vormen de basisvaardigheden voor risicoleiderschap.
Het interessante is dat we deze vaardigheden kunnen trainen door ons brein te trainen, zoals we onze spieren kunnen trainen. De trainingsmethoden variëren: meditatietechnieken, jezelf regelmatig blootstellen aan een verrijkende, stimulerende omgeving (natuur, museum) en bijvoorbeeld zorgen voor voldoende goede nachtrust. Hersenscans tonen aan dat de structuur van het brein hierdoor daadwerkelijk verandert, waardoor onze basisvaardigheden voor risicoleiderschap zich ontwikkelen.
Risicoleiderschapsvaardigheden voor de controller
De basisvaardigheden voor risicoleiderschap vormen de voedingsbodem voor het ontwikkelen van specifieke vaardigheden voor risicoleiders. Deze vaardigheden kunnen we inzetten in dat wat we al doen, zoals het doorlopen van de planning & controlcyclus. Figuur 2 toont de gangbare risicostappen in een PDCA-cyclus. De controller herkent in deze PDCA-cyclus onmiddellijk de planning en controlcyclus: jaarplannen van de afdelingen met doelen en kpi’s (plan), uitvoering van die plannen (do), kwartaal- of maandrapportages, waarin de voortgang wordt gecheckt en wordt bijgestuurd (check en act).
Als voorbeeld bevat de figuur zes vaardigheden voor risicoleiderschap, die specifieke aandacht kunnen krijgen in de verschillende fasen van de planning en controlcyclus. Aandachtspunten voor de vaardigheid doelen leiden maken zijn bijvoorbeeld onderscheid maken tussen doelen en wensen, en doelen op verschillende organisatieniveaus met elkaar verbinden, inclusief de bijbehorende risico’s en kansen. Voor het maken van scherpe keuzes zijn een heldere missie en visie onontbeerlijk, evenals duidelijke kaders voor bijvoorbeeld de risicobereidheid van de organisatie. Ook het maken van bewuste, onderbouwde en uit te leggen keuzes over het al dan niet nemen van risicobeheersmaatregelen hoort hierbij.
De controller als risicoleider
Het artikel eindigt zoals het begon. In veel organisaties, publiek en privaat, staan de controllers vóór het risicomanagement. Letterlijk én figuurlijk. Letterlijk omdat hun afdeling verantwoordelijk is voor de opzet en de werking van de interne risicobeheersings- en controlesystemen. Figuurlijk met hun eigen opstelling, waardoor ze het uitvoeren van risicomanagement in de rest van de organisatie nogal eens onbewust en onbedoeld voor de voeten lopen. Hoe hiermee om te gaan? Door als controller de rol van risicoleider op je te nemen.
Deze rol start met een integrale benadering van risicomanagement in de organisatie. Omgaan met risico’s is van iedereen in de organisatie, niet alleen van de controllers en hun afdeling. Het eigenaarschap voor omgaan met risico’s is een lijnverantwoordelijkheid en geen verantwoordelijkheid van de controller. Waar de controller wél voor verantwoordelijk kan worden gehouden is de mate en wijze van ondersteuning bij het omgaan met risico’s, in alle bestaande activiteiten en processen in de organisatie. Sterker nog, de controller kan een stimulerende voorbeeldrol als risicoleider vervullen. Om zo de organisatie letterlijk en figuurlijk ruimte te bieden in het verantwoord omgaan met onzekerheden, risico’s en kansen, voor het realiseren van ambitieuze doelen in een dynamische en uitdagende omgeving.
Meer lezen?
- COSO, Enterprise risk management: Integrating with strategy and performance, Durham N.C.: Committee of Sponsoring Organizations of the Treadway Commission, 2017
- Staveren, dr. M. van, Iedereen risicoleider: Waarde realiseren en behouden in een onzekere wereld, Management Impact, 2020
Dit artikel is verschenen in cm: 2020, afl. 8 en geactualiseerd op 22 juli 2024.