
Daadwerkelijk sturen op risico’s helpt om doelen te realiseren en waarde te genereren. Dit blijkt in de praktijk nog niet zo eenvoudig. Het gebruikelijke risicomanagement wordt vaak gezien als ‘het feestje van control’. In de rest van de organisatie is enthousiasme ervoor vaak ver te zoeken. Dit constateerde de provincie Utrecht ook. Reden voor een onderzoek dat resulteerde in een gezamenlijke reis richting risicosturing. Dit artikel beschrijft concrete stappen voor de ontwikkeling van risicomanagement op papier naar risicosturing in de praktijk.
In 2020 kozen Gedeputeerde Staten van de provincie Utrecht voor risicomanagement. Het werd het onderwerp voor het jaarlijkse onderzoek naar de doelmatigheid en doeltreffendheid van het gevoerde bestuur. Doel was het verkrijgen van inzicht in de opzet (richting) en werking (praktijk) van het risicomanagement. Tevens was er behoefte aan een herijking van het bestaande kader voor risicomanagement. Vanuit de onderzoeksresultaten geeft de provincie een kwaliteitsimpuls aan het risicomanagement, in alle onderdelen van de organisatie. In het kader licht opdrachtgever Johan Luiks de concrete aanleiding en ambities van het onderzoek toe.
Aanleiding en ambities
‘De provincie Utrecht heeft een moeilijke periode achter de rug, waarin bleek dat er ten aanzien van control nog veel te verbeteren was. Bij mijn start bij de provincie heb ik daarom ingezet op het versterken van het vertrouwen onderling en richting bestuur en Provinciale Staten. We willen ‘zeggen wat we doen, en doen wat we zeggen’. Daarnaast leek het ontwikkelen van risicosturing de beste manier om een betere focus op onze doelen te krijgen, om zo in gesprek te gaan over wat daarbij onzeker is en wat we daar dan wel of niet aan kunnen doen.
Organisatie-brede risicosturing is ook een kans om concern control te positioneren als de kritische vriend van management en bestuur. De business controllers binnen mijn control-team konden deze nieuwe aanpak mooi gaan ondersteunen. Risicogestuurd werken moet in onze werkprocessen een plek krijgen, in onze managementcyclus, in ons opleidingsprogramma. Als concern control moeten wij in staat zijn hierin de organisatie op alle niveaus en in alle opgaven te ondersteunen. Ook in onze samenwerking met verbonden partijen moet risicosturing een logische werkwijze worden. Het bestuur en Provinciale Staten moeten hiermee eveneens vertrouwd raken. Het hoort immers bij het formuleren van nieuw beleid dat je ingaat op wat daarbij onzeker is en wat je er wel of niet aan gaat doen.’
Johan Luiks RA, concern controller van de provincie Utrecht.
Lees ook: Risicogestuurd werken: 10 tips
Van risicomanagement naar risicosturing
Risicomanagement heeft doorgaans een groot probleem: het wordt vaak te ingewikkeld gemaakt, waardoor veel leidinggevenden en professionals afhaken. Dit belemmert omgaan met risico’s in de organisatie, op een effectieve, kostenefficiënte en vooral ook doelgerichte wijze. In lijn met bijvoorbeeld COSO en ISO-richtlijnen voor risicomanagement zijn risico’s immers niets anders dan effecten van onzekerheden op doelen. Zie doelen hierbij breed, variërend van bestuurlijke beleidsdoelen tot concrete duurzaamheidseisen. Effecten van onzekerheden op die doelen kunnen negatief zijn, in de vorm van risico’s. Onzekerheden kunnen soms ook positieve effecten op doelen hebben, in de vorm van kansen. In essentie moet risicomanagement dus helpen om doelen te verwezenlijken, om zo waarde te behouden en om nieuwe waarde te realiseren.
Risicogestuurd werken is niets anders dan bewust sturen op de relevante risico’s. Dit vanuit de concrete doelen die een organisatie, bestuurder, manager, team of individuele professional wil realiseren. Dit vraagt om expliciet, realistisch en gestructureerd omgaan met onzekerheden en daaruit volgende risico’s en kansen, in alle dagelijkse activiteiten en werkprocessen. Zo wordt risicomanagement een normaal onderdeel van de dagelijkse praktijk, in plaats van ‘iets wat erbij komt’. Bijkomend voordeel: risicomanagement kost zo een minimum aan extra tijd en inspanning. Sterker nog, de bedoeling is juist dat het tijd en inspanning gaat reduceren.
Dergelijke risicosturing vraagt wel iets van iedereen, namelijk het ontwikkelen van risicoleiderschap. Dit betekent doelgericht leren omgaan met risico’s én kansen. Risicoleiderschap tonen betekent bijvoorbeeld conflicterende doelen kunnen hanteren, heldere keuzes maken en tijdig signalen oppikken die op (nieuwe) risico’s duiden. Het betekent ook (ongemakkelijke) vragen stellen in een open risicodialoog. Alleen zo kan actief en tijdig worden gestuurd op risico’s én kansen die ontstaan vanuit onzekerheden. Risicoverantwoordelijkheid gaat hierbij hand in hand met doelverantwoordelijkheid.
Wel onderzoek, geen audit
Voor de ontwikkeling richting risicosturing is een praktijkgericht onderzoek uitgevoerd. Dit was nadrukkelijk geen audit maar een GAP-analyse. Dit is een systematische aanpak om vast te stellen op welke onderdelen het huidige risicomanagement (IST) afwijkt van het gewenste risicomanagement (SOLL) en wat de oorzaken daarvan zijn. Hierbij is aandacht besteed aan de drie dimensies die een rol spelen bij het integreren van risicosturing in een organisatie:
- Methode: kaders en bestaande werkprocessen
- Organisatie: formele structuur en informele cultuur
- Mens: motivatie en competenties
Effectief risicomanagement blijft mensgericht maatwerk. Daarom zijn leidinggevenden en medewerkers van de provincie intensief betrokken bij het in kaart brengen van de huidige en wenselijke inrichting (op papier) en werking (in de praktijk) van het risicomanagement. Hiertoe is een bureaustudie uitgevoerd, zijn interviews gehouden in de vier domeinen binnen de provincie. Ook is een organisatiebrede enquête uitgevoerd. Daarnaast is per domein één ‘ambassadeur’ benoemd die tijdens het gehele onderzoek via een klankbordgroep inbreng had. Bijzonder is dat alle contactmomenten, afgezien van de eerste kennismaking in februari 2020, vanwege de coronapandemie online plaatsvonden.
Om de huidige en gewenste situatie eenduidig te kunnen vergelijken is op basis van een eerste analyse een evaluatiekader opgesteld. Samen met de provincie zijn vijf belangrijkste kenmerken voor risicogestuurd werken geselecteerd, met per kenmerk twee aantoonbare criteria.

Uit de vergelijking tussen de huidige en gewenste situatie zijn per dimensie aandachtspunten voor meer risicosturing naar voren gekomen, waaronder:
- Methode: Start met het uitdragen van een algemeen begrippenkader (één risicotaal) voor omgaan met risico’s.
- Organisatie: Leg formele verantwoordelijkheden voor het omgaan met risico’s vast en integreer het toepassen van risicomanagement in bestaande activiteiten.
- Mens: Maak omgaan met risico’s tot iets van de hele organisatie; haal het uit de financiële hoek.
Lees ook: Risicomanagement voor controllers: zo werkt het
Nieuw kader risicomanagement: eenvoud en maatwerk
In 2012 heeft de provincie Utrecht een beleidskader voor het bepalen van weerstandsvermogen met risicomanagement ingevoerd. Vervolgens zijn in 2016 drie nota’s vastgesteld: de Nota Beleidskader Integraal Risicomanagement, de Nota Uitvoeringskader Integraal Risicomanagement en de Kernnota Weerstandsvermogen en Risicobeheersing. Eén van de onderzoeksresultaten is een geactualiseerd kader voor risicomanagement. Hierbij is gehoor gegeven aan de sterke wens vanuit de organisatie: maak het eenvoudiger, voor toepassing in de dagelijkse praktijk op alle niveaus in de organisatie.
Het resultaat is een eenvoudige handreiking voor risicogestuurd werken, waarbij risicoverantwoordelijkheid aan doelverantwoordelijkheid is gekoppeld. De oorspronkelijk gescheiden beleids- en uitvoeringskaders zijn samengevoegd. De nota voor het weerstandsvermogen is een bijlage van kader geworden. Het weerstandsvermogen is immers een overkoepelende, financiële beheersmaatregel voor de restrisico’s. Ondanks de samenvoeging van beide kaders is het nieuwe kader beknopter; het aantal pagina’s is met de helft ingekort.
Het nieuwe kader is gebaseerd op (leidende) principes met heldere rolverdelingen. Het biedt ruimte voor maatwerk voor het omgaan met risico’s én kansen, op alle niveaus in de organisatie. Centraal staat het praktisch toepassen van integraal risicomanagement door risicosturing. De zes gangbare risicostappen zijn kort gezegd:
1. doelen bepalen,
2. risico’s identificeren en
3. classificeren,
4. maatregelen nemen en
5. evalueren en
6. rapporteren en communiceren.
Deze stappen kunnen worden samengevat in drie zogenoemde DOD-vragen:
Wat is het Doel?
Wat zijn daarbij de Onzekerheden (risico’s én kansen)?
Wat daaraan al dan niet te Doen (en met wie)?
Het stellen én beantwoorden van deze risicovragen moet vanzelfsprekend worden in de activiteiten, processen, diensten, projecten, programma’s en opgaven van de provincie. Alleen waar nodig, bijvoorbeeld bij hoge complexiteit of grote omvang van een project, wordt een verdieping met gangbare stappen van risicomanagement uitgevoerd.
Met de resultaten gezamenlijk op reis
Uit het onderzoek blijkt dat de provincie al een stevige basis heeft gelegd voor de dimensies methode en organisatiestructuur. Het accent voor de ontwikkeling richting risicosturing ligt op de dimensie mens en de daarmee samenhangende organisatiecultuur. Het gaat hierbij om een gedragsverandering richting expliciet, realistisch en gestructureerd leren omgaan met onzekerheden, risico’s én kansen in de alledaagse activiteiten. Dit is vanouds het meest ingewikkelde deel van risicomanagement en gaat niet vanzelf. Daarom is het belangrijk dat leidinggevenden en medewerkers de vijf specifieke kenmerken van risicogestuurd werken uit het evaluatiekader stapsgewijs gaan ontwikkelen. Het nieuwe Kader Risicomanagement biedt hiervoor de basis.
Het gekozen ontwikkeltraject draait om ervaren, beseffen, eigen maken, hiernaar gaan handelen en het gewenste gedrag uitdragen binnen de organisatie. Het traject bestaat uit drie fases met concrete acties. Fase 1 richt zich op het vaststellen en invoeren van het nieuwe kader. In deze fase is het van belang om op bestuurlijk niveau commitment te krijgen en het nieuwe kader duidelijk en breed te lanceren. Het kader op een aantrekkelijke manier visualiseren maakt het extra toegankelijk.

In fase 2 wordt het ontwikkeltraject voorbereid, zodat de juiste condities aanwezig zijn voor het uitvoeren van het ontwikkeltraject in fase 3. Zo is aanbevolen om een ontwikkelteam aan te stellen voor het monitoren van de ontwikkeling van de risicosturing. Andere maatregelen zijn het werven van risico-ambassadeurs binnen de domeinen en het aanwijzen van een verantwoordelijke op MT-niveau. In fase 3 wordt het ontwikkeltraject stapsgewijs uitgevoerd, onder andere met workshops voor de business controllers volgens de ‘train de trainer’ methode. Ook worden in deze fase expliciete risicogesprekken aangegaan op CMT- en bestuurlijk niveau. Dit om bewustzijn te bevorderen over het belang van voorbeeldgedrag van leidinggevenden.
Belangrijkste lessen voor de praktijk
Wat hebben we gezamenlijk geleerd van dit traject? Wat kunnen we meegeven als tips? Om te beginnen: week risicosturing los van de gebruikelijke louter financiële benadering. Dit vraagt om specifieke aandacht voor de nieuwe rollen van de business controllers. Maak voor de rest van de organisatie helder dat risicoverantwoordelijkheid volgt uit doelverantwoordelijkheid. Het weerstandsvermogen is dan alleen nog maar nodig voor die relevante restrisico’s die niet binnen de organisatie afdoende kunnen worden beheerst. Het allerbelangrijkste aandachtspunt? Dat is het waarmaken van het nieuwe kader met de opgestelde adviezen. Aan de slag gaan met wat er allemaal al ligt. Hiermee gezamenlijk op reis gaan richting meer risicosturing, richting een doelgerichte, doeltreffende en doelmatige provincie Utrecht.
Meer lezen
- COSO (2017). Enterprise risk management: Integrating with strategy and performance. Durham N.C.: Committee of Sponsoring Organizations of the Treadway Commission.
- ISO (2018). ISO 31000: 2018 (E). Risk Management: Guidelines. Genève: ISO.
- Van Staveren, M.Th. (2020). Iedereen risicoleider: Waarde realiseren én behouden in een onzekere wereld. Amsterdam: Boom|Management Impact.
- Van Well-Stam, D., Lindenaar, F (2021). Professioneel risicomanagement bij projecten. Met de RISMAN-methode als basis. Amsterdam: Boom|Management Impact
Auteurs: Dr.ir. Martin van Staveren MBA is adviseur, auteur en kerndocent risicomanagement aan de Universiteit Twente. Johan Luiks RA is concern controller bij de provincie Utrecht. Kevin van Vulpen BBA en Sterre van Dord MSc zijn adviseurs bij TwynstraGudde en drs. Daniëlla van Well-Stam is partner bij TwynstraGudde.
Dit artikel is verschenen in cm: 2021, afl. 8.