Het blijft me verwonderen: de worsteling met risicoverantwoordelijkheden in veel organisaties. Dit ondanks het ogenschijnlijk simpele Three Lines of Defence model, in 2020 omgedoopt tot het Three Lines model. Veel organisaties hanteren dit model, waarin risicoverantwoordelijkheden zijn geregeld. Althans, op papier. In de praktijk blijken het nogal eens drie lijnen in het zand: één golf en weg zijn ze. Wat kunnen controllers hieraan doen?
Tip! Gratis download Risicogestuurd werken in de praktijk
Internationale richtlijnen voor risicomanagement, waaronder COSO en ISO, zijn eenduidig over risicoverantwoordelijkheden: die horen thuis in de primaire processen van de organisatie. Volgens het Three Lines model van de Institute of Internal Auditors IIA vormen de operationele activiteiten de zogenoemde eerste lijn. Dit betekent dat iedereen die verantwoordelijk is voor de dagelijkse activiteiten en werkprocessen óók verantwoordelijk is voor het omgaan met de risico’s die daarbij kunnen optreden. Controllers en een eventuele afdeling risicomanagement vormen de tweede lijn. Die is er om de eerste lijn te ondersteunen met hun risicomanagement. Interne audit vormt de derde lijn en bewaakt de kwaliteit van de eerste en tweedelijns activiteiten. Zo is het bedoeld en veel publieke organisaties, instellingen en bedrijven hebben hun risicomanagement op deze wijze ingericht.
Lees ook: Risicomanagement voor controllers: zo werkt het
Het feestje van de controller dat geen feest blijkt
Toch zie ik in de praktijk vaak heel iets anders. Daar wordt helemaal geen risicoverantwoordelijkheid genomen door de eerste lijn. Risicomanagement wordt vooral gezien als ‘het feestje van de controller’, die af en toe langs komt met de Excel-sheet om ‘de risico’s te actualiseren’. Ofwel, de tweede lijn voert af en toe uit wat de eerste lijn eigenlijk als dagelijkse routine zou moeten doen: expliciet omgaan met risico’s om de organisatiedoelen te helpen realiseren.
Risicogestuurd werken
Deze waarnemingen waren voor mij aanleiding om eens in de wetenschappelijke literatuur te duiken. Wat zegt die over risicoverantwoordelijkheden, het Three Lines-model en de rol van de controller? De resultaten van dit onderzoek waren ontnuchterend. In de periode 2008 – 2021, dus inclusief de financiële crisis, werden in totaal slechts acht bruikbare artikelen gevonden.
De literatuur bevestigt het veelal ontbreken van risicoverantwoordelijkheid of risico-eigenaarschap in de eerste lijn van organisaties. Het grote belang van eerstelijns risicoverantwoordelijkheden wordt terdege onderkend, evenals het belang van ondersteuning van de eerste lijn door tweedelijns controllers en derdelijns auditors. Deze bevindingen uit de literatuur worden bevestigd door empirisch onderzoek in zes Nederlandse organisaties, in onder andere de publieke sector, de verzekeringswereld en de industrie.
Hoe de controller het voor iedereen feestelijk maakt
Wat is hieraan te doen? Hoe kunnen controllers het routinematig omgaan met risico’s in de eerste lijn ondersteunen? Om deze vraag te beantwoorden benut ik m’n eigen promotieonderzoek uit 2009 over het implementeren van risicomanagement in organisaties. Hierin combineer ik bewezen theorieën over risicomanagement, innovatiemanagement en veranderkunde. Dit resulteert in een aantal kernvoorwaarden voor het routinematig toepassen van risicomanagement. Drie voorwaarden zijn met name relevant voor de eerste lijn: (1) een toegankelijke, eenvoudige aanpak voor omgaan met risico’s, die (2) voorziet in de behoeften van de eerste lijn en (3) leidt tot heldere risicoverantwoordelijkheden.
Om te voldoen aan deze voorwaarden worden dan ook drie suggesties gedaan. Ten eerste, vat het risicomanagement samen tot drie eenvoudige DOD-vragen: wat is het Doel, ofwel wat willen we bereiken? Wat is daarbij Onzeker, ofwel wat zijn de risico’s én kansen? Wat gaan we Doen, welke maatregelen gaan we al dan niet nemen? Hieruit volgt logischerwijs de tweede suggestie, het concreet maken van doelen, inclusief de relaties tussen doelen op de verschillende organisatieniveaus. De derde suggestie is het verbinden van doelverantwoordelijkheid met risicoverantwoordelijkheid. Immers, als het goed is wil iedere manager of professional een waardevolle bijdrage leveren aan het realiseren van organisatiedoelen. Dan lijkt het mij niet meer dan professioneel om vanuit doelverantwoordelijkheid ook de daaruit volgende onzekerheden, risico’s én kansen routinematig te beschouwen. En waar nodig tijdig en adequaat actie te ondernemen.
Inderdaad, deze suggesties zijn geen rocket science. Voor sommigen zijn het wellicht open deuren. Desalniettemin, veel organisaties worstelen met risicoverantwoordelijkheden en het routinematig toepassen van drie eenvoudige suggesties kan zo maar bijdragen aan helder afgebakende risicoverantwoordelijkheden. Ofwel, scherpe lijnen, die niet wegspoelen met de eerste de beste golf. Vanuit hun tweede lijn kunnen controllers hierbij de broodnodige ondersteuning bieden.
Lees ook: Risicogestuurd werken: 10 tips
Verantwoording
Dit blog is een samenvatting van het double blind peer reviewed onderzoeksartikel ‘What can controllers and internal auditors do to support risk ownership?’ (Van Staveren, 2021).
Auteur: Dr. Martin van Staveren doceert, adviseert en schrijft over omgaan risico’s binnen organisaties. Hij is onder andere kerndocent risicomanagement, Universiteit Twente en doceert in diverse collegereeksen van Nyenrode Business Universiteit. Hij is auteur van de boeken Risicogestuurd werken (2015), Risicoleiderschap (2018) en Iedereen Risicoleider: Waardevolle doelen realiseren én behouden in een onzekere wereld (2020).
