Kansen en risico’s liggen per definitie in de toekomst. Hoeveel tijd in uw agenda maakt u vrij voor de toekomst? Een controller die bezig is met risicomanagement die kijkt niet primair intern, maar primair extern. Hoeveel tijd maakt u structureel vrij in uw agenda om naar buiten te kijken? Dat zijn vragen die aan de orde kwamen op het event Nieuw risicomanagement voor de business controller onlangs. ‘Laten we proberen risicomanagement voor ons te laten werken, in plaats van tegen ons,’ aldus risico-expert Martin van Staveren. ‘En durf af en toe ook eens een risico te nemen.’
Op landgoed De Horst in Driebergen komen zo’n honderd business controllers bij elkaar om te praten over nieuw risicomanagement. Risico-expert Martin van Staveren trapt af. ‘Risicobereidheid is niet in beton gegoten. Of je iets als een risico ervaart hangt sterk af van de context en je eigen gezichtspunt. Als je bijvoorbeeld al eens een vuurwerkongeluk van dichtbij meegemaakt hebt, zul je anders tegen de risico’s van vuurwerk aankijken. Besef dat je risicobereidheid als business controller anders zal liggen dan die van de rest van de organisatie.’
Een aantal zaken is bepalend voor risicoperceptie volgens Van Staveren. Hij noemt vertrouwen in informatie, bekendheid en zichtbaarheid, voordelen en maatschappelijk nut, vrijwilligheid en controle en morele acceptatie. Wanneer deze beperkt zijn, zullen de risico’s overschat worden. Aan de slag gaan met risicomanagement kan dus betekenen dat je zorgt voor meer vertrouwen in informatie. Wat zijn feiten? En wat zijn aannames of interpretaties? Wat is de subjectiviteit?’
Veerkracht – resilience – is heel belangrijk, aldus Van Staveren. ‘Je kunt niet alle risico’s voorspellen, dat moet je ook niet willen. Wat je wel kunt doen is veerkracht organiseren. Als je een veerkrachtige organisatie bent en je hebt vertrouwen in je organisatie, dan kan je risicobereidheid misschien wat groter zijn.’
‘Het is heel makkelijk om risicomanagement ingewikkeld te maken,’ zegt Van Staveren. ‘Het is moeilijk om het weer tot de kern te brengen. Maar in alle risicomanagementmethoden komen de zelfde zes essentiële stappen voor: doelen bepalen, identificeren, classificeren, beheersen, evalueren en overdracht. Risicogestuurd werken is het toepassen van deze zes stappen in de werkzaamheden (processen). Dat kan vanuit bestaande methoden zoals COSO ERM, NEN-ISO 31000, RISMAN. De mens in de organisatie staat daarbij centraal. Risicomanagement zou moeten gebeuren in de business, niet in een speciale afdeling.’
Van Staveren pleit ervoor om van risicodossier naar risicodialoog te gaan: ‘Controleren is goed, maar ook vertrouwen is beter. Vastleggen is goed, maar ook bespreken is beter. Benut de kracht van woorden! Let dus op je eigen woorden.’
Lees ook: Risicomanagement: ‘Als je wilt behouden wat je hebt, moet je veranderen’
Risicomanagement en compliance gaan hand in hand
‘Als je business continuity in gevaar komt is er in meer dan 50 procent van de gevallen een compliance issue,’ zegt professor Sylvie Bleker (hoogleraar Compliance & Integriteit Management aan de VU). Bleker is heel gelukkig dat accountability naar voren wordt geschoven in COSO 2017. Er wordt niet meer gesproken over de 1st line of defence, maar over de 1st line of accountability. ‘Steeds meer wordt naar compliance doorgeschoven. Maar de risico’s loop je in de eerste lijn. Compliance kan je helpen. De ceo is de baas van de eerste lijn. De cfo is de baas van de derde lijn. De chief risk officer is de baas van de tweede lijn. De meeste jongens zijn mooi-weer-bestuurders. Als er problemen opdoemen verstarren ze als een konijn in de autolampen. En risk komt met ‘slecht’ weer. Roep ze dan tot de orde. Dit is het moment waar een ceo’s zijn geld kan verdienen!’
‘Júllie zijn cruciaal om hen te helpen die risico’s te zien. Vind de woorden om het kwartje te laten klinken als die valt. Een risico zien aankomen, het op de knop drukken. Dat is ons werk.
Deze wereld denkt dat regels de oplossing zijn. Maar dat is niet zo. Gelegenheid, druk en rechtvaardiging zijn de onderdelen van de fraudedriehoek. Maar gelegenheid is de zuurstof van de organisatie. Wanneer je als organisaties alles dichttimmert, krijgen werknemers het gevoel bij een crimineel bedrijf te werken: ‘ik kan hier niets doen zonder tien handtekeningen te halen’. Als er dan ergens een gat is, duikt men er in.’
‘Zeker als je in de financiële wereld zit, ben je de hele dag alleen maar bezig om de tsunami aan wet- en regelgeving te ‘ontvangen’, je hebt geen tijd meer over om te zien wat ze betekenen. Compliancetypes weten niet hoe snel ze wet- en regelgeving moeten omzetten in vinklijstjes. En verder doet iedereen wat ie altijd al deed. Toch kun je in de board zeggen ‘we hebben een policy’.
Compliance gaat dan ook veel meer over gedrag. Ik geloof niet in integriteit – er kunnen zich altijd situaties voordoen waarvan je niet weet hoe je zult reageren. Maar ik kan wel iets met organisatorische integriteit. Waarden. Als je niet met die waarden kunt werken, ga dan niet zitten mekkeren. Pak je biezen en stap op.’
‘We moeten die regels wel vertalen, maar niet naar de vloer. Want dat zijn geen legals. Heb wel respect voor de werkvloer, want zij verdienen het geld. Júllie zijn er om het veilig te houden. Breng het werk en de taal van de vloer naar compliance. Geef dan de kaders aan waarbinnen zij het moeten doen. In de taal van de werkvloer. Pratend in de processen van de werkvloer. Dan krijg je veel minder risico’s en een veel betere compliance. Ga niet als een soort oppermeester voorleggen aan iedereen wat ze moeten doen. We moeten namelijk samen die toko laten lopen. We hebben de wet, en we hebben de boetes als leidsel. Ik heb ooit toen ik ergens begon uitgerekend hoeveel boetes ze zouden kunnen krijgen. Dat zijn wel de leidsels waar de board naar wil luisteren.
Dat kan beer niet trekken. Nee, dan moet je er dus iets aan gaan doen.’
‘Risicomanagement en compliance gaan hand in hand! Maar compliance vormt een risico op zich. Vaak wordt compliance onder legal gebracht. Vanuit risicoperspectief is dit niet handig, want risico’s sneeuwen onder. Compliance moet rechtstreeks naar de ceo rapporteren. Legal heeft heel andere belangen, heeft heel andere risico’s. Die compliance risico’s kunnen echt je license to operate kosten!’
Lees ook: ‘Compliance is een groot monster dat we zelf gebouwd hebben’
Zorg dat je niet digitaliseert, wat je eigenlijk zou moeten stoppen
‘Bij cyberrisico’s gaat het niet meer alleen om je eigen risicomanagement,’ aldus Gaby Ververst, senior manager Risk consulting KPMG. ‘Het gaat ook om hoe je klant de beveiliging voor elkaar heeft. Dat stretcht je risicomanagement.’
Wat wij leren van cyberrisico, is ook toe te passen in breder verband. Je kunt niet meer alles dichttimmeren. Maar hoe gaan we daarmee om? ‘Het is geen IT-aangelegenheid. Het ligt in de business en de board. Maak het pro-actiever, om eerder inzicht te krijgen. Automatisering kan daar wel bij helpen, maar digitaliseren van riskmanagement is geen doel, maar een middel. Automatiseren biedt een scala van mogelijkheden. Maar zorg dat je niet automatiseert wat je eigenlijk zou moeten stoppen!’
‘Risicomanagement digitaliseren kan je inzicht geven, zodat je je kunt focussen op waarvoor je het doet. In plaats van allerlei informatie overal vandaan te halen, kan het systeem dit voor je doen. Doordat je meer inzicht kunt geven, kan de dialoog beter op gang komen.’
Kansen en risico’s liggen per definitie in de toekomst
‘We moeten beseffen dat risico’s in de toekomst liggen. Liggen ze in het verleden, dan zijn het feiten. Als u met het verleden bezig wilt zijn, dan had u leraar, archeoloog of accountant moeten worden,’ betoogt drs. Stephan van den Broek RA RC, partner van Management Meets Singularity en verbonden aan Koenen en Co. ‘Een controller die zich met risicomanagement bezig wil houden, die kijkt naar de toekomst. Een archeoloog zoekt in een beperkt gebied naar dat ene stukje. Een afgebakend stukje van de werkelijkheid. Die is intern gericht. Technologische ontwikkelingen vinden extern plaats. Een controller die bezig is met risicomanagement die kijkt niet primair intern, maar primair extern. Hoeveel tijd maakt u structureel vrij in uw agenda om naar buiten te kijken. Extern. De ontwikkelingen te volgen. Die ontwikkelingen gaan steeds sneller. Niet de snelheid van verandering is belangrijk, maar de verandering van snelheid. Je kunt het verleden niet doortrekken naar de toekomst.’
‘Hoe bereid u zich voor op die veranderingen? Een goede riskmanager beseft dat als onzekerheid toeneemt, dat dan flexibiliteit toeneemt. In de verleden tijd gaat control over beheersen. Nieuw control gaat over loslaten. Plan doe check act (uit 1950!) was bruikbaar in de lineaire tijd. De Deming cirkel maakt het met kleine stapjes steeds beter. Maar we hebben nu niet meer de tijd om het jarenlang steeds beter te gaan doen. Een alternatief managementmodel voor exponentiële tijden gaat over Why?; Connect; Respond; Trust; Accelerate. Oftewel: wat speelt er? En hoe kan ik daar op inspelen?’
‘Hoeveel tijd in uw agenda maakt u vrij voor de toekomst? Turf het voor de grap eens: hoeveel bent u bezig met verleden, heden en toekomst. Kansen en risico’s liggen per definitie in de toekomst.
Wat u moet doen is dus verbinden met die toekomst. Wat betekent 3d printing voor u? Wat betekent een zelfrijdende auto voor u? Hou bij het beoordelen van businessplannen in gedachten: heb ik genoeg rekening gehouden met de toekomst?’
‘Risicomanagement begint aan de voordeur. Bij het instrumentarium dat we gebruiken. Bevordert u onzekerheid, of straft u het af? Neemt u de kosten van onzekerheid wel mee, maar de waarde van flexibiliteit niet? Gebruikt u de netto contante waarde methode? Gelden de expliciete aannames die hierachter liggen nog wel? Scenario analyse is niet meer dan een tabblad in Excel. Maar ik wil niet verzanden in een worst-casescenario, ik wil flexibel zijn boven de scenario’s.
Waar is de controller die zegt: 10 miljoen? Ik geef je 12 miljoen. En dan geef jij me meer flexibiliteit terug. Want in tijden van disruptie is flexibiliteit het enige mechanisme om te overleven. Als u echt met de toekomst bezig bent, dan weet u dat flexibiliteit belangrijk is. Het gaat niet meer om keeping on track. Want wat als dat de verkeerde weg is? Kijk verder. Stop echt tijd in het gevoel bij de toekomst te kijken. Doe de gordijnen van control open.’
‘Volgens Anthony, de grondlegger van ons vakgebied, is motivation de basisfunctie van control. Ik heb de code of conduct van de VRC er eens bij gepakt. Het woord motivatie komt daar niet in voor. En dat is natuurlijk schandalig. We weten dat motivatie de drijver is van topprestaties.
En wat drijft motivatie? Vertrouwen!
Control heeft alles te maken met loslaten. Met vertrouwen. Beslissingssnelheid, kwaliteit van beslissingen, productiviteit, daling ziekteverzuim, veranderingsbereidheid, aan innovatiesucces. Dat is allemaal verbonden met vertrouwen. We moeten weg van check. Vertrouwen is niet soft, maar keihard. Want voor wie het vertrouwen breekt is geen plek meer in het team.’
‘Innoveren betekent risico nemen: fouten horen erbij. Fouten maken in innovatie betekent niet verlies maken, maar van een investering doen op de toekomst. Ongeacht wat de RJ zegt. Een kernelement van goed ondernemerschap is het kennen van het draagbare verlies (affordable loss).
Wat is de risicocapaciteit van uw onderneming? Wat is het draagbare verlies? 90 procent van de riskmanagers weet dat niet. Heeft zich dat nog nooit gerealiseerd. Een fundamentele stap in risicomanagement is het draagbare verlies weten – wat iets heel anders is dan het risk appetite. Loopt dat te ver uit elkaar, dan kun je als controller beter opstappen! Een goed ondernemer neemt risico’s, maar weet hoever hij kan gaan. Daar heeft hij het met zijn partner over gehad. Een slechte ondernemer ontwijkt die vraag en duikt met zijn neus in de paperassen. Overleven betekent dat we moeten innoveren. Maar innoveren betekent ook risico’s!’
‘Risicomanagement draait uiteindelijk om impact. En impact is IQ x EQ (= inhoud maal acceptatie)
Wij krijgen als beroepsgroep hoge cijfers voor IQ. Op EQ krijgen we nogal eens kritiek. Maar de volgende cursus die u volgt zou op dit gebied moeten zijn: Hoe kan ik mijn communicatievaardigheden verbeteren?’
Lees ook: ‘Een controller die voortdurend op de rem staat is een risico’
De spagaat tussen mens en samenwerking en control
‘De oplossing wordt al snel gezocht in minder regels en meer vrijheid. Maar die suggestie is niet alleen irreëel, maar ook onwenselijk,’ aldus dr. Kees Tillema, hoofddocent management accounting & control aan de RUG en managing director bij Het Zuiderlicht. ‘Het spel is veel delicater en herbergt een zoektocht naar nieuwe toepassingen van organiseren waarin economie en sociologie samenvallen. Zijn er interventies mogelijk waarbij beide kanten elkaar versterken?’
‘Uit onderzoek blijkt dat de gemiddelde mens ’s ochtends de linker- en rechterhelft van zijn brein in balans heeft. Ze werken goed samen met elkaar. Het blijkt ook, dat als je de drempel van je werk overstapt, de rechter hersenhelft onmiddellijk uit gaat. En links wordt overactief. Zodra je na je werk de deur uit gaat, gaat de rechter hersenhelft weer aan. Moraal van het verhaal: die linker cortex hebben we heel dominant gemaakt, maar we hebben dat niet in de gaten gehad. Wat zou er gebeuren als controlling en accounting en risicomanagement die rechter cortex gaan activeren?’
‘Vertrouwen is een ingewikkeld onderwerp. Als je de loep legt op control, dan krijg je meer controls. Maar als je de loep op vertrouwen legt, krijg je juist eerder wantrouwen.
Vertrouwen is een containerbegrip. De Engelsen hebben verschil tussen trust en confidence. Trust is weten wat je aan elkaar hebt, en confidence is meer werkgerelateerd vertrouwen. In Nederland lopen die begrippen door elkaar heen. Maar eerst komt confidence, en dan komt trust vanzelf. De creatieve vraag is: hoe gaan we naar en-en denken: sturing én zelforganisatie; hard én zacht; cijfers én waarden; rationeel én intuïtief; doelgericht en flexibel’.’
Hoe ga je om met risico’s en vertrouwen?
- Het gewenste stimuleren in plaats van het ongewenste afremmen.
- Eerst confidence, dan trust.
- Beoogde rendementen in een langere-termijnperspectief plaatsen.
- Extra beloningen verbinden aan resultaten op de langere termijn.
- Complexiteit elimineren.
- Prestatiemanagement minder op individuen richten en meer op teams.
‘Het is ónze enige taak het primaire proces te laten excelleren.’
Lees ook: De zekerheid én onzekerheid van cijfers
Wat is eigenlijk risicoleiderschap?
Aan het eind van de middag vat Martin van Staveren de vorige sprekers nog even kort samen, om dan in te gaat op de vraag wat risicoleiderschap is. ‘Als leiderschap bestaat uit moed, kwetsbaarheid, inspireren/motiveren, richting geven, kiezen, vertrouwen, dienen/faciliteren en EQ, dan is risicoleiderschap is hetzelfde, maar uitgebreid met expliciet omgaan met onzekerheid. Het durven niet-weten. En daarmee om weten te gaan.
Een afdeling Riskmanagement zou eigenlijk overbodig moeten zijn. Het hoort eigenlijk in de eerste lijn.’
Lees ook: ‘Het overbodig maken van ons risk team moet onze ambitie zijn’
7 habits van risicoleiderschap
- Begrijp risico.
- Heb de doelen scherp.
- Ken de eigen risicobereidheid én die van de omgeving.
- Heb oog en oor voor verschillen in risicopercepties.
- Accepteer onzekerheid.
- Durf te kiezen en neem daarvoor verantwoording.
- Pas het omgaan met risico’s toe in alle dagelijkse activiteiten.
Zonder risico geen top
‘Expedities zijn het leven in een notendop’, aldus Katja Staartjes, de eerste Nederlandse vrouw die de Mount Everest bedwong. ‘Het is een mix tussen ambitie en realisme. Ontwikkelen is buiten je comfort zone komen. Boven de 8000 meter zit je constant buiten je comfort zone. Waarom doe je het dan? Het is een passie. Een grote inspiratiebron. Je voelt je zo klein. Doordat je met heel slecht weer te maken hebt, waardeer je mooie weer des te meer. Je hebt een helder doel, het is simpel leven,’ aldus Staartjes. ‘Ik heb het ook nodig voor reflectie. Maar het mooist vind ik de verbondenheid met elkaar. Afhankelijkheid en vertrouwen. Dat is een prachtige ervaring. Daar geniet je van tot ongeveer 7000 meter en daarna gaat het alleen nog over overleven en de ambitie om je doel te halen. Richten en kiezen. Veerkracht is cruciaal.’
‘Het begint met moed. Het begint met eigenaarschap. En dat kun je pas meenemen als je voldoende zelfvertrouwen hebt. Als je er ‘klaar’ voor bent. Dat wil niet zeggen dat je elk risico moet nemen. Ik sta hier nog omdat ik op een bepaald moment teruggegaan ben. Soms op 30 meter van de top. Dat is cruciaal. Bepaal je grenzen. Zonder risico geen top!’
>>De presentaties kunt u hier bekijken.
