Op werkdagen voor 23:00 besteld, morgen in huis Gratis verzending vanaf €20
Martin van Staveren - Menselijk maatwerk column
27 januari 2020 | Martin van Staveren

Is het niet gek? Een gemiddelde supermarkt verkoopt 10.000 tot 15.000 verschillende artikelen. Dit kan oplopen tot 30.000 producten in een XL-versie. Let wel, dit zijn alleen levensmiddelen en aanverwante spullen. Maatwerk dus. Voor iedereen is er wel een passende pot pindakaas te vinden.

Hoe anders is dat in de dienstverlening, variërend van de belastingdienst tot de psychiatrische hulp. Daar worden mensen vaak in een benauwend hokje geduwd, met alle gevolgen van dien. En pas je toevallig niet in de beschikbare hokjes, dan val je buiten de boot. Wordt het niet eens tijd voor menselijk maatwerk?

Waarom moet ik de laatste tijd toch zoveel denken aan de mythologische figuur Procrustes? Hij was een zeer gastvrije herbergier in de oudheid. Het eten en drinken in zijn herberg was altijd heerlijk. De kamers waren licht en ruim. De bedden hadden geweldige matrassen en warme dekens. Eigenlijk was er maar één minpuntje: alle bedden hadden exact hetzelfde formaat. Dat was voor de gastvrije herbergier echter geen enkel probleem. Hij zorgde er wel voor dat iedereen precies in z'n bedden paste. Te korte mensen werden tot de correcte lengte uitgerekt. Bij te lange mensen werd gewoon een stuk van de ledematen afgehakt. Alles om ze passend te krijgen.

Verwissel nu de identieke bedden uit de mythologie voor knellende protocollen in hedendaagse organisaties, variërend van financiële dienstverlening tot onderwijs en zorg. Je begrijpt gelijk dat er op het punt van het rucksichtslos passend willen maken niet veel is veranderd. Blijkbaar zit dat in onze menselijke aard. Dit ‘passend maken wat niet past' zorgt voor dagelijkse frustraties. Niet alleen bij cliënten, leerlingen en patiënten. Natuurlijk óók bij medewerkers en managers. En het verwoest zelfs levens. Wie wil dit eigenlijk?

Twee voorbeelden, die al jarenlang spelen en ook in dit nieuwe decennium waarschijnlijk niet plotseling worden opgelost. In 2014 werd een groep van 300 ouders door de Belastingdienst onterecht beschuldigd van fraude met de kinderopvangtoeslag. Ze kwamen door terugvorderingen jarenlang in grote financiële problemen, met echtscheidingen en de gedwongen verkopen van woningen als resultaat. Het gaat hierbij om kinderopvangtoeslag, dus in al deze gezinnen waren kinderen in het spel. In totaal zijn duizenden gezinnen jarenlang door de Belastingdienst in een niet passend bed geperst. De verantwoordelijke staatsecretaris stapte op, met de onheilspellende voorspelling dat ‘nieuwe problemen aan het licht zullen komen'.

Een tweede voorbeeld heeft me zo mogelijk nog meer aan het denken gezet. Acteur Tygo Gernandt dompelde zich onder in de wereld van de psychiatrie. Hij maakte er een indringende documentaireserie over. Eén van de mensen die hij interviewt, de 21-jarige Jason, is in dertien verschillende psychiatrische hokjes geperst. Hierdoor wil geen enkele instelling hem meer behandelen.

Best gek dus, en veel meer dan dat. Als het om levensmiddelen gaat hebben we de keuze uit duizenden producten. Al het om mensen gaat zijn de opties beperkt en beperkend. Als je eenmaal in een niet-passend hokje bent geperst, dan kom je er niet meer uit. Wordt het niet eens tijd voor veel meer menselijk maatwerk?

Martin van Staveren adviseert, doceert en schrijft over realistisch(er) omgaan met onzekerheden, risico's én kansen. Hij is auteur van de boeken Risicogestuurd werken en Risicoleiderschap.

Martin van Staveren - 25 jaar illusies in risicomanagement column
30 december 2019 | Martin van Staveren

Welke managementdiscipline heeft de afgelopen 25 jaar het hoogste illusie-gehalte geleverd? Dat zou zo maar eens risicomanagement kunnen zijn. Wat zijn de drie grootste illusies? En is er een alternatief?

Net als vele andere managementdisciplines is het gangbare risicomanagement ontstaan uit het scientific management van de Amerikaanse ingenieur Frederick Taylor. Risicomanagement is bedoeld om risico's te beheersen of, liever nog, te elimineren. Risico's zijn onzekere gebeurtenissen met ongewenste effecten. Risicomanagement maakt hierbij gebruik van oorzaak-gevolg relaties: als ik dit doe, dan treedt dat risico niet meer op. Was dat altijd maar zo. Dit gaat immers alleen op in een stabiele, voorspelbare wereld. Een wereldbeeld dat steeds weer een illusie blijkt.

Een paar voorbeelden. Ondanks het toepassen van risicomanagement door risicomanagers heeft dat veel organisaties niet kunnen behoeden voor de negatieve effecten van diverse crises in de afgelopen 25 jaar. Faillissementen waren geen uitzondering. Grootbanken moesten met staatsteun overeind worden gehouden. Uit onderzoek blijkt overigens dat het risicomanagement in de loop van de jaren niet aantoonbaar is verbeterd. Een bedrijf als ING, de bank met de hoogste boete tot nu voor het ‘witwasschandaal', had risicomanagement volgens de boekjes op orde, op papier.

Wat zijn nou de drie grootste illusies die het risicomanagementfeestje blijven verstieren? De eerste illusie is die van de objectieve risico's. Ik moet het honderd procent objectieve risico nog steeds tegenkomen. Het risico waarvan alle oorzaken en gevolgen volledig objectief en feitelijk zijn vast te stellen. Immers best lastig, als het over onzekerheid gaat. Wie kan überhaupt volledig objectief beoordelen wat optimaal is om met een risico om te gaan, optimaal voor wie eigenlijk? De realiteit is dat elk risico's een subjectieve component heeft. Verschillen in risicoperceptie spelen hierbij, bewust en vaak onbewust, een hoofdrol.

De tweede illusie is die van compleetheid. De eis die nogal eens gesteld wordt door goedbedoelende managers: ‘Dat risicodossier moet dus wel compleet zijn!' Een dingetje hierbij is dat we per definitie niet weten wat we niet weten. Een risicodossier is dus nooit compleet. Wat we wel kunnen doen is afspraken maken over hoeveel tijd en energie we willen steken in het inventariseren van voorziene risico's. Binnen die kaders kunnen we dan zo compleet mogelijk zijn.

De derde illusie, die de voorgaande twee ver achter zich laat, is de illusie van controle. Alsof risico's zich laten temmen door de mens. Natuurlijk kunnen we bepaalde risico's fors verminderen, op persoonlijk vlak door bijvoorbeeld niet zonder licht te fietsen en gezond(er) te leven. Maar dat wil niet zeggen dat we daardoor allemaal 101 jaar oud worden. Voor organisaties werkt dat net zo. Bepaalde risico's kunnen we gericht aanpakken, bijvoorbeeld op het gebied van veiligheid, duurzaamheid, omzet of reputatie. Maar dat wil helemaal niet zeggen dat alles volledig voorspelbaar verloopt, zoals beschreven in onze plannen voor het nieuwe jaar.

Is er een alternatief? Jazeker, enorm eenvoudig én uiterst lastig. Durf deze drie illusies volledig los te laten. Omarm onzekerheid in het nieuwe jaar én benut alle onvermoede kansen, die daaruit ontstaan.

Martin van Staveren adviseert, doceert en schrijft over realistisch(er) omgaan met onzekerheden, risico's én kansen. Hij is auteur van de boeken Risicogestuurd werken en Risicoleiderschap.

Martin van Staveren - Drie risicovolle inzichten column
20 december 2018 | Martin van Staveren

Ook het afgelopen jaar heeft weer de nodige onzekerheden geleverd, met risico’s én kansen. Dit varieerde van onze extreem droge zomer tot gele hesjes, die niets met autopech te maken bleken te hebben.

Hoe hier ook in het komende jaar mee om te gaan, in die VUCA-wereld met volop volatiliteit, uncertainty, complexiteit en ambiguïteit? Drie inzichten bleken afgelopen jaar vele malen een eye opener. Ik neem ze daarom graag mee 2019 in.

Geen risico zonder doel

Risico’s zien als effecten van onzekerheden op doelen, dit maakt omgaan met risico’s doelgericht. Zie die doelen in de meest brede betekenis: dat wat jij, je team, je organisatie concreet wil bereiken of realiseren. Dat wat onzeker is op weg naar je doel wordt een klassiek risico, als het een negatief effect op je doel heeft. Vergeet alleen niet dat onzekerheden ook positieve effecten kunnen hebben. Dat is immers de reden dat we bijvoorbeeld ondernemen. Die positieve effecten op doelen zijn kansen vanuit onzekerheid. Laat die niet liggen en neem kansen gewoon mee. Hiermee wordt omgaan met onzekerheden ook nog eens veel leuker.

Risico is geen probleem

Een risico kan optreden, maar dat hoeft niet. Daarbij weet je ook nooit precies wanneer en hoe een risico optreedt. Dat is immers de onzekerheid die bij een risico hoort. Het fijne van een risico is dus dat het er nog niet is, én dat je er in veel gevallen nog tijdig iets aan kan doen. Als dat tenminste de moeite waard is. Een probleem is er al wel, mogelijk is het een opgetreden risico. De aanpak van een probleem is daarom anders dan die van een risico. Het probleem is immers een voldongen feit, een risico is dat niet. Wel kan een probleem de oorzaak van een risico zijn. Een risico is dus nooit een probleem.

Risico is perceptie

Het voor honderd procent objectieve risico moet ik nog tegen komen: een risico waarvan de kans van optreden én alle gevolgen helemaal objectief zijn te bepalen. En stel dat zo’n zuiver objectief risico toch zou bestaan, dan nog is het nodig om te beoordelen of het risico al dan niet acceptabel is. En met die beoordeling komt de subjectiviteit van perceptie en risicobereidheid. De ene persoon vindt het risico wel acceptabel, de andere niet. Daarom zei een piloot enige tijd geleden eens tegen me: risico ís perceptie. Daar moeten we het maar mee doen, met alle subjectiviteit en emotie die bij de echt relevante risico’s naar boven komt.

Dit waren mijn drie risicovolle inzichten van het afgelopen jaar. Wat 2019 ons ook gaat brengen, ik heb zo het idee dat deze inzichten nuttig blijven. Dit om mooie, nieuwe, waardevolle doelen te realiseren, wat die ook zijn, ondanks risico’s en met het benutten van kansen!

vergroten, binnen én buiten organisaties. Martin is ook kerndocent aan de executive masteropleidingen Risicomanagement en Public Management, Universiteit Twente. Begin 2015 verscheen zijn boek Risicogestuurd werken in de praktijk bij uitgever Vakmedianet. Op 15 augustus 2018 verscheen zijn nieuwste boek: Risicoleiderschap: Doelgericht omgaan met onzekerheden.

Martin van Staveren - Het einde van de risicomanager column
13 september 2018 | Martin van Staveren

Wie kent ‘m nog niet? De risicomanager, risk officer of risico-adviseur? De man of vrouw die ‘van de risico’s is’, het (laten) uitvoeren van risicomanagement als kerntaak heeft en daar het leeuwendeel van de tijd aan besteedt?

Voor al diegenen die deze goedbedoelde functie op een conventionele wijze invullen heb ik niet zo goed nieuws. Ik kondig hierbij namelijk het einde van de risicomanager aan. Als functie wel te verstaan. Het goede nieuws is dat ik een alternatief heb: de aloude risicomanager kan namelijk herrijzen als risicoleider. Een waarschuwing vooraf: wat nu komt zal niet iedere risicomanager waarderen. Voel je je aangesproken? Dan is dat juist een signaal om verder te lezen.

Onzekerheid: de enige nieuwe zekerheid

Onzekerheid als enige nieuwe zekerheid voor organisaties? Is dit niet een tikkeltje overdreven? Ik dacht het niet. Kijk maar eens goed om je heen. Dan zie je allerlei razendsnelle technologische ontwikkelingen als digitalisering, robotisering, the internet of things en big data. Dit gebeurt allemaal in een veranderende sociaal-maatschappelijke context als gevolg van bijvoorbeeld klimaatverandering, migratie en onverwachte geopolitieke ontwikkelingen. Deze wereld wordt wel samengevat als de VUCA-wereld: een organisatieomgeving met veel Volatiliteit in de vorm van onvoorspelbare beweeglijkheid, volop Uncertainty of onzekerheid, Complexiteit door talloze factoren die elkaar wederzijds beïnvloeden en niet te vergeten de nodige Ambiguïteit of dubbelzinnigheid. Denk bij dit laatste aan de rol van de sociale media, waarbij het onderscheid tussen nepnieuws en feitelijk nieuws vervaagt. Dit leidt tot zogenoemde wilde maatschappelijke vraagstukken, met risico’s én kansen, waar we binnen en buiten organisaties (deel)oplossingen voor moeten zien te vinden. Meestal is er overigens niet één beste oplossing voor zulke opgaven, als er al een oplossing is. Leuk of niet, onzekerheid is de komende tijd onze enige nieuwe zekerheid. We kunnen er maar beter rekening mee houden.

Risicomanager: het begin van het einde

Wat betekent onzekerheid als enige nieuwe zekerheid voor de functie van conventionele risicomanager en het bijbehorende conventionele risicomanagement? Niet veel goeds. Met het woord ‘conventioneel’ bedoel ik iets doen volgens de gewoonte, wat door vaste patronen of schema’s is bepaald. Conventioneel geeft een traditionele manier van werken aan, die door de jaren heen zo is gegroeid. Onder conventioneel risicomanagement versta ik dan ook de gebruikelijke, veelal instrumentele risicobenadering. Hierbij ligt de nadruk op het objectiveren, kwantificeren en beheersen van risico’s. Vaak is risico gedefinieerd als ‘kans maal gevolg’ en ontbreekt de relatie tussen risico’s en doelen, evenals het beschouwen van de positieve effecten van onzekerheid: kansen in de betekenis van mogelijkheden of opportunities.

Dan nu de conventionele risicomanager. Op basis van literatuur, vele gesprekken en dito observaties in allerlei organisaties kom ik tot een aantal algemeen gangbare kenmerken van de conventionele risicomanager en de soortgelijke risicofuncties. De risicomanager: doet aan conventioneel risicomanagement, heeft risico’s als focus, objectiveert, kwantificeert en beheerst risico’s en benut daarvoor modellen. Deze functies zijn staffuncties, waarbij de nadruk ligt op de beheersing van risico’s. Hoewel er ongetwijfeld aanvullende kenmerken zijn te noemen, en de invulling ervan per sector en organisatie aanzienlijk verschilt, vormen deze kenmerken de grote gemene deler van de conventionele risicomanager.

Waarom leidt dit profiel van de conventionele risicomanager tot het begin van het einde? Omdat het op z’n best bijdraagt aan risico-oplossingen voor zogenoemde tamme vraagstukken. Dat zijn opgaven met eenduidige oorzaak-gevolgrelaties, waarvoor één optimale oplossing met brede overeenstemming is te vinden. Tamme vraagstukken komen echter alleen voor in stabiele situaties of systemen, in dito omgevingen. Die worden schaars in een VUCA-wereld.

Voor het omgaan met risico’s van (onderdelen van) wilde vraagstukken, opgaven met een zogeheten grote gedragsmatige en dynamische systeemcomplexiteit, is dit conventionele profiel volstrekt niet meer functioneel. Dit betekent dat de functie van de conventionele risicomanager, samen met alle soortgelijke risicofuncties, snel aan relevantie verliest. Op basis hiervan is dan ook de figuurlijke dood van de conventionele risicomanager aangekondigd, hoewel deze conclusie vast niet door iedereen zal worden gedeeld.

De praktijk wijst overigens uit dat lang niet iedereen met de functienaam ‘risicomanager’ iets of vergelijkbaars op het visitekaartje voldoet aan het geschetste profiel van de conventionele risicomanager. Dergelijke risicomanagers zitten nogal eens in een ongemakkelijke spagaat tussen de verwachtingen waaraan ze moeten voldoen, en de eigen invulling die zie aan risicomanagement zouden willen geven.

Risicoleider: een nieuw begin

Tot slot het goede nieuws: het aangekondigde einde van de functie van conventionele risicomanager uitdrukkelijk niet geldt voor de persoon van risicomanager. Die kan met een ander profiel en een andere risicobenadering, evenals alle niet-risicomanagers, namelijk zeer waardevol worden in vrijwel elk type hedendaagse organisatie. Namelijk als aanjager én rolmodel voor risicoleiderschap, als risicoleider.

In tegenstelling tot een conventionele risicomanager werkt een risicoleider risicogestuurd. Hij of zij heeft waardevolle doelen als focus, in de meest brede betekenis van het woord. Een risicoleider subjectiveert, kwalificeert en gaat om met risico’s, in plaats van te proberen om alle risico’s te beheersen of uit te sluiten. Dit betekent sommige risico’s accepteren, of nemen. Een risicoleider gebruikt daarvoor de al bestaande management- en werkprocessen en is als zodanig een rolmodel. Als risicoleider draag je zo, zelf én samen met anderen, bij aan het effectief omgaan met de onzekerheden in vele complexe vraagstukken. Vraagstukken, die binnen en buiten organisaties luid en duidelijk om concrete oplossingen vragen. Bijvoorbeeld op het gebied van duurzaamheid, (arbo)veiligheid, winstgevendheid of klantvriendelijkheid. Van conventionele risicomanager naar innovatieve risicoleider: wat een kans!

Dr. Martin van Staveren staat voor anders omgaan met risico’s. Hij adviseert organisaties over realistisch en vernieuwend risicomanagement. Ook is hij kerndocent aan de Executive Masteropleiding Risicomanagement, Universiteit Twente. Hij is de auteur van Risicogestuurd werken in de praktijk en van Risicoleiderschap: Doelgericht omgaan met onzekerheden.

Martin van Staveren - Onzekere reputaties column
21 maart 2018 | Martin van Staveren

‘De mensen zijn woest – wat nu?’ Dit is de titel van een essay over omgaan met mediahypes door publieke organisaties en bedrijven. Hierbij staan die organisaties, ogenschijnlijk tot hun eigen verrassing, ineens volop in de spotlights van de sociale en andere media.

Op basis van alle commotie worden ze gedwongen om snelle én lastige keuzes te maken. Keuzes die neerkomen op buigen of barsten. Buigen blijkt dan de meest gekozen optie, om zo de opgelopen reputatieschade te beperken. Als reden wordt de factor onzekerheid opgevoerd. Is dit terecht en kan het ook anders?

Recente voorbeelden van de voornamelijk digitale volkswoede variëren, van het al dan niet bijvoeren van de 'wilde dieren' in de Oostvaarderplassen, tot de voorgenomen vijftig procent salarisverhoging voor de topman van Nederlands grootste bank. In beide gevallen werd enkele dagen ferm vastgehouden aan het genomen besluit – niet bijvoeren en de vijftig procent salarisverhoging in stemming brengen – totdat een scherpe bocht van honderdtachtig graden onontkoombaar bleek: toch bijvoeren en de salarisverhoging afblazen. Niet omdat de betreffende besluiten door betrokken organisaties bij nader inzien als onjuist werden beoordeeld. Wel vanwege de fors onderschatte reacties vanuit de samenleving.

We hebben het hier over klassieke reputatie-risico’s, onzekere gebeurtenissen met nadelige effecten op de doelstellingen van de organisatie. Hierbij is het interessant om de vermeende schuldige – onzekerheid – eens wat nader te verkennen. Door de grilligheid van de publieke opinie zouden dergelijke mediahypes moeilijk te voorspellen en zo onzeker zijn. Dit is iets wat ik me sterk afvraag.

Zo was er in 2004 soortgelijke commotie bij de grootbank, toen er een bijna zeshonderd procent hogere bonus voor de toenmalige topman werd voorgesteld. Iets wat een aantal jaar later, tijdens het parlementair onderzoek naar de oorzaken van de kredietcrisis, ook nog eens breed is uitgemeten. De vraag is dus of dit reputatie-risico echt zo onzeker en daarmee niet te voorzien was. Hetzelfde geldt voor het bijvoeren van dieren in de Oostvaarderplassen. Deze kwestie speelt ook niet voor het eerst. Is het in een welvarend land vol vertroetelde huisdieren niet te verwachten, dat het voor velen ontoelaatbaar is dat dieren in barre omstandigheden op een natuurlijke wijze aan hun eind komen? 

Dat de besluiten uit beide voorbeelden tot publieke commotie leiden zou voor de betrokken organisaties dus helemaal geen verrassing mógen zijn. Het inbrengen van de troefkaart onzekerheid verdoezelt een groot onvermogen: daadwerkelijk inlevingsvermogen met wat er speelt de maatschappij, en het vermogen om dat expliciet mee te nemen in de besluitvorming. Henri Beunders, hoogleraar Ontwikkelingen in de Publieke Sector, verwoordt dit als volgt:

‘Bedrijven en overheidsinstanties hebben moeite ophef te voorspellen omdat zij hun voelsprieten in de samenleving zijn verloren.’

In het weer laten aangroeien van die voelsprieten ligt dan ook de oplossing. Ofwel, het leren doorzien én begrijpen van de maatschappelijke context, waarin je als organisatie moet zien te functioneren. Dit inclusief alle 'stakeholders', met wie je als organisatie op de een of andere wijze onlosmakelijk verbonden bent, leuk of niet. 

Het mooie is nu dat twee recent fors aangepaste raamwerken voor effectief omgaan met risico’s het analyseren van de organisatie-omgeving nadrukkelijk aanbevelen. Dit zijn het internationale COSO raamwerk uit 2017 en de ISO 31000 richtlijn voor risicomanagement uit 2018. Sterker nog, het effectief kunnen omgaan met allerlei soorten risico’s, ook die voor reputatieschade, stárt met het in kaart brengen van die context. Iets waar overigens leiderschap voor nodig is, wat in de genoemde raamwerken ook expliciet aan de orde komt. Zo’n context- met stakeholderanalyse is overigens niet louter een papieren exercitie. Een bewezen en eenvoudige aanpak is simpelweg het gesprek aangaan met vertegenwoordigers van die partijen, die naar verwachting fysiek of emotioneel geraakt worden door je strategie of beleid. Neem hiervoor als organisatie het initiatief, en leg daarbij goed en geduldig uit waar je als organisatie voor staat, en waarom je een bepaalde keuze overweegt.

Samenvattend: de vermeende reputatie-onzekerheid is helemaal niet zo onzeker en onvoorspelbaar. De kans erop en impact ervan kan in de praktijk sterk worden verminderd. Dit door de context waarin je als organisatie werkt (veel) beter te leren begrijpen. Misschien hoeven ogenschijnlijk controversiële besluiten dan niet meer binnen enkele dagen te worden teruggedraaid. Of blijkt dat een ogenschijnlijk uit te leggen besluit écht niet meer van deze tijd is. Dit is een vorm van realistisch omgaan met reputatie-zekerheid. Iets wat het proberen waard is, in een ogenschijnlijk onzekere wereld. 

Dr. Martin van Staveren staat voor anders omgaan met risico’s. Hij adviseert organisaties over realistisch en vernieuwend risicomanagement. Ook is hij kerndocent aan de Executive Masteropleiding Risicomanagement, Universiteit Twente. Hij is de auteur van Risicogestuurd werken in de praktijk en van Risicoleiderschap: Doelgericht omgaan met onzekerheden.

Referentie: De in dit blog genoemde citaten zijn ontleend aan het essay De mensen zijn woest – wat nu? van Floor Rusman: https://www.nrc.nl/nieuws/2018/03/16/de-mensen-zijn-woest-wat-nu-a1595974

Martin van Staveren - Alles onder controle? column
4 december 2017 | Martin van Staveren

Recent verscheen het boek In control? met als veelzeggende ondertitel 'Perspectieven op de beheerskramp in en om organisaties'. De auteur is Thijs Homan, onder meer hoogleraar Implementation and Change Management aan de Open Universiteit Nederland.

Homan verkent in dit boek op diepgaande wijze ‘...de zich steeds verder uitdijende lavastroom aan control, beheersing, monitoring, sturing, accreditaties, registraties, protocollen en regels.’ Dit onder het motto ‘We zijn pas accountable als we auditable zijn.’ Opvallend is dat risicomanagement in dit boek wordt gepositioneerd als onderdeel van het probleem, de uitdijende lavastroom. Dit prikkelt me. Is dit geen veel te eenzijdige blik? Kan een andere, vernieuwende vorm van risicomanagement juist niet bijdragen aan verlichting van de beheerskramp?

Voorbeelden van de toename aan regels en toezicht, de effecten ervan op het dagelijkse werk en het humeur, die laat ik hier voor wat ze zijn. We kennen ze inmiddels wel. Velen, in vele organisaties en sectoren, hebben er immers mee te maken. In de grotere organisaties spelen afdelingen als Planning & Control of Audit, met functies als business control, hier een hoofdrol in. En laten we afdelingen als Kwaliteit en Risicomanagement vooral niet vergeten.

Voor de helderheid stellen we eerst even scherp waar we het bij het woord 'controle' eigenlijk over hebben. Volgens de website van Van Dale betekent iets onder controle hebben het in bedwang hebben, ofwel beheersen. Onder controle staan betekent gecontroleerd worden. De onderliggende motivatie is dat we met controle de wereld naar onze hand willen zetten, om zo te kunnen toewerken naar een voorspelbare uitkomst. Ofwel, om te krijgen wat we willen, en te vermijden wat we niet willen. De neiging tot controle is op deze manier dus terug te brengen tot de kern van menselijke behoeften: méér van het goede en minder van het slechte, waarbij het 'goede' en 'slechte' nogal rekbare begrippen zijn. Ofwel, met controle beogen we zekerheid te creëren in een wereld vol onzekerheid.

De vermaarde Amerikaanse psycholoog Abraham Harold Maslow heeft zekerheid, samen met het broertje veiligheid, op het tweede niveau in zijn behoeftepiramide geplaatst, net boven de basisbehoeften van voeding en onderdak. Controle uitoefenen als middel, met het creëren van zekerheid als doel, dat zit dus verankerd in ons menselijke systeem, zouden we kunnen stellen. Fascinerend, dat die controleneigingen dus blijkbaar ook kunnen doorslaan, als een uitdijende lavastroom. Hoe kan dat, en waarom ervaren velen van ons dat in toenemende mate als belemmerend?

In In control? schetst Thijs Homan een drietal praktijkontwikkelingen, waarvan ik er hier één verken. Dit is de ontwikkeling van de zogenoemde audit society, die heeft geleid tot – hou je vast – een ware risk management explosion. Deze termen zijn gemunt door ene Michael Power, hoogleraar Accounting aan de London School of Economics. In de audit society zijn steeds meer mensen een soort 'auditees' geworden. Ze zijn onderworpen aan allerlei auditeisen en staan dus eigenlijk permanent onder controle. Volgens dezelfde Michael Power is de audit society het afgelopen decennium overgegaan in een risk management explosion, omdat vele spraakmakende faillissementen – met Enron als iconisch voorbeeld – de mythe van de auditmaatschappij hebben ontmaskerd. Toen was het dus aan risicomanagement, om als redder alsnog de o zo gewenste zekerheid te bieden. Na de opeenvolgende crises sinds 2007 is het maar zeer de vraag of dát ons nu echt heeft geholpen. Ook hiervan kennen we de voorbeelden maar al te goed.

Wat nu, anno 2017? Nog meer van hetzelfde aan audits en risicomanagement lijkt geen veelbelovende benadering. Maar wat dan wél? Misschien moeten we hiervoor nog een keer terug naar onze menselijke aard: het streven naar zekerheid in een wereld volop onzekerheid, die dat dus maar ten dele kan bieden. Dit inherente gebrek aan zekerheid als een onveranderbaar gegeven accepteren vormt een eerste en essentiële stap. Op basis daarvan kunnen we gaan experimenteren met andere vormen van audit en omgaan met risico’s. Vormen, die de realiteit van onzekerheid juist niet uitsluiten met het genereren van schijnzekerheden, maar die realiteit juist omarmen en accepteren, als een onmiskenbaar feit.

Wat betreft risicomanagement biedt bijvoorbeeld risicogestuurd werken een alternatief. Hierbij is de 'm' van management – lees beheersing – letterlijk en figuurlijk omgedraaid in de 'w' van werken. Dit betekent gewoon aan de slag gaan, op een manier waarbij de relevante onzekerheden wél expliciet aan de oppervlakte komen. En waarbij in enkele stappen structuur wordt geboden, om die onzekerheden al dan niet gericht aan te pakken, daar waar dat kan én het de moeite waard is. Die stappen kunnen we overigens ontlenen aan alle gangbare risicomanagementbenaderingen, aan de hand van slechts drie vragen:

1. Wat wil je bereiken?

2. Wat is daarbij onzeker, ofwel het risico?

3. Wat ga je daar al dan niet aan doen?

Mensgericht risicogestuurd werken betekent specifieke accentverschillen aanbrengen in het omgaan met risico’s, in vergelijking met het gangbare en instrumentele risicomanagement. Neem het illustere duo controle en vertrouwen. Gangbaar zijn situaties met weinig vertrouwen en veel tolerantie – dus veel controles en als het niet voldoet toch maar gedogen, om gedoe te vermijden – en die van weinig vertrouwen met weinig tolerantie – ofwel veel controles die uitmonden in een afrekencultuur. Een alternatief is het ontwikkelen van een werksituatie met veel vertrouwen en weinig tolerantie, dus met aanzienlijk minder controles. Maar let op, als daaruit bewust misbruik van vertrouwen blijkt, dus uit malafide intenties, dan wordt er snel, stevig en voelbaar ingegrepen. Bij een dergelijke benadering zijn veel minder controles het startpunt, waarbij ze samen met de bijbehorende audit risicogestuurd worden. Dus met focus op die situaties, die de grootste onzekerheden met effecten op doelen of resultaten met zich meebrengen. Dit biedt volop interessante perspectieven en ontwikkelingen, bijvoorbeeld voor business controllers.

Ga bijvoorbeeld eens na wat dit voor kansen oplevert om waarde toe te voegen aan de organisatie, via meer efficiëntie door minder controles. En wat dit kan bijdragen aan het genereren van meer effectiviteit, doordat de relevante risico’s op deze wijze tijdig aan het licht komen en kunnen worden aangepakt, daar waar nodig en mogelijk. Natuurlijk vraagt dit ook om een aantal andere accentverschillen ten opzichte van het gangbare risicomanagement. Zoals focus op doelen in de meest brede zin van het woord, in plaats van op risicomanagementmethoden die in wezen allemaal hetzelfde zijn. Ook betekent dit het toelaten van variatie, te beginnen in de controles en audits zelf, als tegengif voor het gangbare denken van steeds meer standaardisatie.

Samenvattend en concluderend, andere vormen van risicomanagement zouden de komende jaren wel eens kunnen bijdragen aan verlichting van de beheerskramp. Dit in plaats van het vergroten ervan, zoals de heersende opinie ons doet geloven. Vernieuwd risicomanagement is dan niet meer een deel van het probleem, maar juist de oplossing. Het helpt om op een verantwoorde wijze aan het controlejuk te ontsnappen. Om zo, vanuit vakkennis en enthousiasme, bij te kunnen dragen aan de vele persoonlijke, organisatorische en maatschappelijke opgaven en uitdagingen, waar we dagelijks voor staan.

Dr. Martin van Staveren adviseert organisaties over anders omgaan met risico’s. Zijn missie is om daarmee effectiviteit en welzijn te vergroten, binnen én buiten organisaties. Martin is ook kerndocent aan de executive masteropleidingen Risicomanagement en Public Management, Universiteit Twente. Begin 2015 verscheen zijn boek Risicogestuurd werken in de praktijk bij uitgever Vakmedianet.

Martin van Staveren - Collectieve risicoperceptie: missie voor Rutte III column
26 oktober 2017 | Martin van Staveren

Wat als de met regelmaat voorkomende schietpartijen in de VS als een volksgezondheidscrisis worden beschouwd?

Stel dat de meer dan 50 doden en meer dan 500 gewonden – Las Vegas, enkele weken geleden - niét door een schietende eenling waren veroorzaakt, maar door een nieuwe infectieziekte? Ook op één dag? Welke maatregelen zou het Amerikaanse Congres dan nemen? Of wat zou de Nederlandse regering doen, als zoiets bij ons gebeurde?

Dergelijke vragen worden opgeroepen door de hoofdredacteuren van de vier belangrijkste medische vaktijdschriften in de VS. Door schietpartijen als gezondheidscrisis te beschouwen zou, verhoudingsgewijs met ziekten met dezelfde aantallen slachtoffers, jaarlijks 1,4 miljard dollar aan onderzoeksgeld beschikbaar komen. De realiteit: het jaarbudget voor onderzoek naar wapengebruik in de VS is 20 keer zo laag. Waarbij het natuurlijk wel de vraag is, of louter meer onderzoek tot minder schietincidenten gaat leiden. Aanvullende preventieve maatregelen, op basis van die onderzoeksresultaten, lijken onvermijdelijk.

Een voorbeeld van de rol van collectieve risicoperceptie, en de inconsistentie daarin. Een mooie opgave voor onze nieuwe regering, Ruttte III, om Nederlandse collectieve risicopercepties tijdig te herkennen. En om op basis daarvan maatschappelijk acceptabele én wijze besluiten te nemen.

Dr. Martin van Staveren adviseert organisaties over anders omgaan met risico’s. Zijn missie is om daarmee effectiviteit en welzijn te vergroten, binnen én buiten organisaties. Martin is ook kerndocent aan de executive masteropleidingen Risicomanagement en Public Management, Universiteit Twente. Begin 2015 verscheen zijn boek Risicogestuurd werken in de praktijk bij uitgever Vakmedianet.

Gebaseerd op het volgende artikel: https://www.nrc.nl/nieuws/2017/10/11/amerikaanse-artsen-vuurwapens-bedreigen-de-volksgezondheid-13444866-a1576823

Martin van Staveren - We blijven loyaal, ook als we de risico’s kennen column
11 oktober 2017 | Martin van Staveren

Zo luidde de kop van een opiniestuk van Afghanistan-veteraan majoor Niels Roelen, onlangs gepubliceerd in NRC. Aanleiding was het spraakmakende rapport van de Onderzoeksraad voor Veiligheid (OVV), over het ongeval met een mortiergranaat tijdens de Nederlandse missie in Mali.

Naast de tragiek van twee doden en een zwaargewonde leidde dit uiteindelijk tot het aftreden van minister Hennis van Defensie én generaal Middendorp, Commandant der Strijdkrachten. Het artikel van Roelen raakt me, omdat het onomwonden laat zien hoe een militair op missie moet zien te dealen met onvermijdelijk risico’s. En ook vanwege drie wijze lessen voor ons, burgers met een veelal veilig kantoorbestaan, als professional of manager.

Allereerst een les in loyaliteit, ondanks bureaucratie. Roelen geeft aan dat militairen al decennia lang betere uitrusting voor eigen rekening aanschaffen. Hij heeft er zelfs begrip voor. Het gaat immers om grote aantallen en Defensie – niet alleen de Nederlandse – kan alle verbeteringen niet op de voet volgen. Hij moest zelf in Afghanistan een Amerikaans model scherfbril kopen, omdat Defensie ze niet meer had. Dit model was echter niet door Defensie gekeurd, dus hij zou niet mee verzekerd zijn… De les hieruit, ook voor ons in de burgermaatschappij: stap als het nodig is over de bureaucratie heen. Break the rules, als de specifieke situatie dat vereist, en sta daarvoor.

Een tweede les gaat over scherpe keuzes maken. Roelen moet een huiszoeking doen, in een buurt waar ze al een paar keer beschoten waren. Het is dan een paar weken voor het eind van z’n missie. Hij weet slechts vijf man en een tolk mee te krijgen en is bang. Met z’n maat maakt hij daarom afspraken om de man die de deur opent zo nodig als menselijk schild te gebruiken. In strijd met het humanitair oorlogsrecht, maar wel een risicobeheersmaatregel die hem het leven zou kunnen redden. Het loopt goed af. Na afloop, in gesprek met z’n maat, evalueren ze deze maatregel. Roelen geeft aan dat als hij de man werkelijk als menselijk schild zou hebben moeten gebruiken, hij dat gewoon toegegeven zou hebben. Met baanverlies en waarschijnlijk een veroordeling als gevolg: ‘De kern van leiderschap is dat je keuzes maakt. Bij het maken van die keuzes moet je nadenken over de gevolgen daarvan. Als je niet bereid bent om die te accepteren, dan moet je een andere keuze maken.’ Dit is één op één toepasbaar in niet-militaire omstandigheden, en ook als het niet om leven en dood gaat.

Dan les drie. Roelen’s grootste teleurstelling over de bevindingen van het OVV-rapport betreft het weglopen van verantwoordelijkheid. Ofwel, niet achter gemaakte keuzes (blijven) staan, ze niet verdedigen en er geen openheid over geven. In zijn woorden zijn openheid en defensie per definitie een paradox. Vanuit mijn ervaringen beperkt dit zich niet tot de defensieorganisatie. Ik kom het ook tegen, bij zowel overheidsinstellingen als bedrijven. Temeer als het over lastige risico’s, bijbehorende dilemma’s en reputaties gaat. Roelen maakt een subtiel onderscheid tussen geheimzinnig en een zinnig geheim en beschouwt openheid als de sleutel tot leren. Iets om je blijvend te herinneren. Het is namelijk mijn stellige overtuiging dat leren van omgaan met risico’s hét verschil gaat maken tussen succesvolle en niet-succesvolle organisaties, in willekeurig welke sector.

Conclusie: de defensieorganisatie heeft met het OVV-rapport een flinke draai om de oren gekregen. Beide eindverantwoordelijken hebben op koninklijke wijze hun ambtelijke verantwoordelijkheid genomen. Waarbij aangetekend dat politiek en maatschappij, wij allen, jarenlang financieel en moreel op defensie hebben bezuinigd. Het containerbegrip 'cultuuromslag' is al veel gevallen en zal dat de komende tijd blijven doen. Het open en persoonlijke verhaal van majoor Niels Roelen laat zien dat moedige individuen desondanks blijven doen wat er van ze verwacht wordt. Met een loyaliteit, die bewonderenswaardig is en waar we in onze veelal veilige burgerorganisaties van kunnen leren. Juist als we de risico’s kennen.

Dr. Martin van Staveren adviseert organisaties over anders omgaan met risico’s. Zijn missie is om daarmee effectiviteit en welzijn te vergroten, binnen én buiten organisaties. Martin is ook kerndocent aan de executive masteropleidingen Risicomanagement en Public Management, Universiteit Twente. Begin 2015 verscheen zijn boek Risicogestuurd werken in de praktijk bij uitgever Vakmedianet.

Bron: Artikel 'We blijven loyaal, ook als we de risico’s kennen', door Niels Roelen, gepubliceerd in NRC, Opinie & Debat, pagina 4 & 5, 7 & 8 oktober 2017.

Martin van Staveren - Risicosturing als misverstand - Over de Fipronil-affaire column
1 september 2017 | Martin van Staveren

‘Ons handelen moet niet gestuurd worden door de mogelijke risico's.’ Deze quote ontving ik onlangs van een hooggeleerde persoon in m’n mailbox, naar aanleiding van een opleidingsmodule. Die gaat namelijk over Risicogestuurd werken in de praktijk.

Inmiddels ben ik blij met deze quote, omdat die zichtbaar maakt dat risicosturing op minimaal twee manieren bekeken kan worden. Waarvan er één tot een hardnekkig misverstand leidt.

Laten we daarmee beginnen. In deze interpretatie betekent risicosturing gestuurd worden door de mogelijke risico’s. Dit zou betekenen dat zodra een risico opdoemt een koerswijziging nodig is, vanwege dat risico. Dus letterlijk of figuurlijk een ruk aan het stuur naar rechts of links, of wellicht hard remmen. Een risico wordt gebruikelijk gezien als een onzekere gebeurtenis of situatie in de nabije of verdere toekomst, met vervelende, ongewenste gevolgen bij optreden. Punt is echter dat het helemaal niet zeker óf het risico zich wel daadwerkelijk manifesteert, en zo ja wanneer. Door dus op élk risico afwerend te reageren zal in de praktijk van alles aan beheersing in gang worden gezet, of juist aan activiteiten worden vermeden, wat achteraf helemaal niet nodig blijkt. Want gelukkig lang niet alles wat wij mensen als risico beschouwen gebeurt (het omgekeerde is trouwens ook het geval). Dit is dus een vorm van rigide en absurde risicosturing, die uiteindelijk alles tot stilstand brengt. Iets wat nadrukkelijk niét de bedoeling is van risicogestuurd werken.

Dan nu de andere manier om risicosturing te bekijken. Dit betekent sturing van de mogelijke risico’s, op basis van wat je wilt bereiken of realiseren. Met andere woorden, op basis van doelstellingen. Bij deze benadering past een risico-definitie die meer en meer in diverse richtlijnen en standaarden opdoemt: risico is het effect van een onzekere situatie of gebeurtenis op doelstellingen. Hierbij zijn doelen in brede zin, dus ook bepaalde resultaten of eisen, het uitgangspunt. Je wilt iets realiseren of bereiken, en kijkt daarbij kritisch om je heen welke onzekerheden daar een negatief (of positief!) effect op hebben. Dit zijn de relevante risico’s, waarbij je vervolgens besluit om daar al dan niet iets aan te doen. Zo’n besluit is onder andere afhankelijk van je eigen risicobereidheid, en van de mogelijkheden en bijbehorende kosten om zo’n risico te beperken. Bij deze benadering ligt de focus dus op het sturen van het risico. Dit wordt bedoeld met risicogestuurd werken.

Dan is er ook nog een derde optie: helemaal geen risicosturing. Je kunt hier natuurlijk bewust voor kiezen, met een kans dat je alsnog door het risico wordt gestuurd. Of het overkomt je gewoon. Denk bijvoorbeeld aan twee pluimveehouders en het Fipronil-schandaal.

Kippenboer A krijgt een aantrekkelijk aanbod van de innovatieve bloedluisbestrijder Kippenvriend. Deze enthousiaste ondernemers beweren met hun nieuwe middel Fypro-rein (hun zelfbedachte codewoord voor hun bestrijdingsmiddel op basis van Fipronil) kippenstallen vier maal zo lang bloedluisvrij te houden. Kippenboer A is gezond argwanend. Zij Googlet op de naam Fypro-rein, belt eens met een toxicoloog, en komt zo tot de conclusie dat Fyrpo-rein op z’n minst een nogal ongebruikelijk middel is. Kippenboer A heeft de kwaliteit van haar eieren en reputatie hoog in het vaandel staan. Ze slaat dit aantrekkelijke aanbod dan ook vriendelijk en resoluut af. Geen experimenten in de stal. In risicotermen: Kippenboer A beschouwt dit middel als onacceptabel risico voor eierkwaliteit. Gegeven haar doel om die te garanderen besluit ze af te zien van het nieuwe bestrijdingsmiddel. Vanuit dit doel stuurt ze dus primair op het voedselveiligheidsrisico. Kostenvoordelen door gebruik van het bestrijdingsmiddel laat ze liggen.

Kippenboer B krijgt precies hetzelfde ogenschijnlijk zo aantrekkelijke aanbod van de innovatieve bloedluisbestrijders. Kippenboer B is nogal zuinig en ruikt een mogelijkheid om z’n toch wel forse bedrijfslasten te reduceren. Alle beetjes helpen. Volgens de enthousiaste Kippenvrienden blijven de kippenstallen met hun nieuwe middel Fypro-rein immers vier maal zo lang bloedluisvrij: kassa! Kippenboer B laat het middel dus spuiten. En inderdaad, na 2 maanden, 4 maanden en zelfs na 6 maanden, geen bloedluis te bekennen! Natuurlijk wil Kippenboer B ook goede kwaliteit eieren blijven leveren. Anders kost het immers omzet, en dus geld. Maar het komt gewoon niet in hem op dat die aardige Kippenvriendmensen met een vanwege voedselveiligheid verboden middel spuiten. Als dat aan het licht komt en de media er opduikt ontstaat een persoonlijk drama. Met als resultaat de ruiming van tienduizenden kippen en faillissement van zijn pluimveebedrijf. In drie generaties opgebouwd, binnen drie weken weggevaagd. Kippenboer B werd dus gestuurd door een opgetreden risico, in plaats van zelf te sturen. Vanwege een risico dat als zodanig helemaal niet door hem is gezien. En redelijkerwijs ook niet door hem kon worden gezien. Zijn blik was immers primair op kosten en omzet gericht. Dáár was het bedrijf groot mee geworden.

Conclusie: met risicosturing door risicogestuurd werken wordt nadrukkelijk niet bedoeld om bij elk risico dat in beeld komt gelijk aan de beheersingsreflex toe te geven. Het dus is niet zo dat al het handelen dan door risico’s wordt gestuurd. Het betekent daarentegen ook niet dat elk relevant risico altijd bij iedereen tijdig in beeld komt. Denk aan Kippenboer B. Er wordt wél mee beoogd, om vanuit heldere doelen de relevante risico’s tijdig in het vizier te krijgen. Om vervolgens op basis van doel, risicobereidheid en mogelijkheden tot beheersing bewust te kiezen, om al dan niet iets te doén. Laat daar nu geen misverstand meer over bestaan.

Dr. Martin van Staveren adviseert organisaties over anders omgaan met risico’s. Zijn missie is om daarmee effectiviteit en welzijn te vergroten, binnen én buiten organisaties. Martin is ook kerndocent aan de executive masteropleidingen Risicomanagement en Public Management, Universiteit Twente. Begin 2015 verscheen zijn boek Risicogestuurd werken in de praktijk bij uitgeverij Vakmedianet.

Martin van Staveren - Risicofabels ontrafeld column
8 juni 2017 | Martin van Staveren

Onlangs werd ik gevraagd een recensie te schrijven over het boek Veiligheidsfabels 1-2-3 van Carsten Busch. Dat leek me wel wat.

Temeer toen een groot aantal veiligheidsfabels tevens risicofabels bleken: een nieuwe blogpost zag het licht. Het onderscheid tussen feiten en mythen lijkt steeds immers diffuser lijkt te worden. Ook op het gebied van risico’s. Daarom hoogste tijd om een aantal risicofabels te ontrafelen. Mede voor onze eigen veiligheid.

Het doel van het boek Veiligheidsfabels 1-2-3 wordt met een stevige metafoor neergezet. Op 31 oktober 1517 spijkerde Maarten Luther zijn 95 stellingen op een kerkdeur in het Duitse Wittenberg. Dit wordt veelal gezien als start van de reformatie. Vijfhonderd jaar later presenteert veiligheidscriticus Carsten Busch zijn 95 veiligheidsfabels. Niet op een deur maar in een boek. Omdat ook veiligheid aan reformatie toe is, na decennia van dwalingen en misverstanden. Overdreven? Helemaal niet, zo blijkt. Vervang veiligheid door het risicomanagement, en dezelfde conclusie houdt stand.

Volgens de Noors-Nederlandse veiligheidsexpert Carsten Busch heeft veiligheid een serieus probleem. Of beter gezegd, 95 problemen. En wel in de vorm van 95 fabels over veiligheid. Mythen die in allerlei organisaties rondwaren en ten onrechte voor waar worden aangenomen. Met de bekende hulpkreet uit de Apollo 13, Houston we have a problem, geeft Busch hiervoor een aantal herkenbare redenen.

Zo nemen veel veiligheidskundigen – en niet alleen deze beroepsgroep – teveel aan van horen zeggen. Dit zonder zich écht in de materie te verdiepen. Met zo’n weinig kritische en reflectieve houding wordt veiligheid dogmatisch. Ook wordt zo een geheel eigen deskundigenwereldje gecreëerd. Zo’n wereld waarin fabels het goed doen. Daarbij worden – managers, let nu op – veiligheidsprofessionals lang niet altijd even effectief ingezet. De focus is te eenzijdig op voldoen aan wet- en regelgeving en het voorkomen van letselschade door verzuim. Effectief omgaan met veiligheid in organisaties is zoveel breder, of zou dat moeten zijn. Het gaat om het voorkomen én leren van ongewenste gebeurtenissen, ofwel om het omgaan met risico’s. Vervang veiligheid door het risicomanagement en dezelfde redenen houden stand.

Carsten Busch wijdt een apart hoofdstuk aan risico en risicobeoordeling. Toch komen in het hele boek veiligheidsfabels voor, die tevens risicofabels zijn. Het begint al bij Fabel 1, die gelijk stevig binnenkomt: Veiligheid is afwezigheid van ongevallen. Niet dus. Geen ongevallen kan immers best toeval zijn. Het betekent niet automatisch dat een werkomgeving veilig is. Later, bij Fabel 85 - Ons doel moet nul zijn! – wordt dit pijnlijk helder met een voorbeeld: het ontplofte boorplatform Deepwater Horizon. Die van de enorme milieuramp in de Golf van Mexico, naast elf dodelijke slachtoffers. Op de dag van de ramp werd op het platform gevierd dat er zeven jaar zonder verzuimongeval was gewerkt…

Fabel 1 wordt als risicofabel: Risicomanagement is afwezigheid van risico’s. Een niet-realistisch, of beter onmogelijk streven in elke organisatie. Bedenk maar eens een organisatie- of afdelingsdoel, waaraan geen enkele onzekerheid kleeft om dat doel te bereiken. Dit sluit naadloos aan op Fabel 2: de mythe dat veiligheid afwezigheid van risico is. Maximale veiligheid betekent dan nul risico. Onmogelijk, alles zou tot stilstand komen. Nog een les hieruit: risico en veiligheid moeten niet als tegenstellingen worden gezien, maar in samenhang. Met andere woorden, veiligheid is niets anders dan de staat van risico’s op een acceptabel niveau. En een poosje geen optredende risico’s? Dat kan eveneens toeval zijn.

En dan een stokpaardje van mezelf, Fabel 83: Risico bepaal je met objectieve factoren. Sommigen – ook buiten het veiligheids- en risicowereldje – denken nog steeds dat risico altijd kan worden berekend en zo leidt tot een objectief getal. Objectieve cijfers tellen immers. Kwantificeren dus. Was de wereld maar zo eenvoudig. De realiteit is dat subjectiviteit, emoties en daarmee risicopercepties een grote rol spelen. Bijvoorbeeld in beoordelingen over wat al dan niet veilig is. Een veelgehoorde slogan als “We werken hier veilig of we werken hier niet” wordt hiermee plotseling een stuk minder eenduidig. Wat is veilig, voor wie? De manager, Arbo-professional en medewerker kunnen hier heel verschillend over denken. Welke Arbo-risico’s zijn acceptabel of niet, tegen welke prijs? Dit zijn vragen waar het om gaat, bij het realistisch omgaan met risico’s.

Tot slot nog wat voorbeelden van herkenbare fabels, bezien vanuit het veelal gangbare en instrumentele risicomanagement: Risico moet worden geëlimineerd, Risico is alleen kans en gevolg, Kwantitatieve risicobeoordelingen zijn superieur en, één van mijn favorieten, Risicobeoordeling leidt tot enorme rapporten. Hierbij verwijs ik met plezier naar m’n eerdere blog Risico op 1 a4.

Conclusie: veel mythen over veiligheid zijn evenzeer mythen over risicomanagement. Ze zijn best begrijpelijk, maar bieden geen houvast meer in de huidige VUCA wereld: ons tijdperk met volop volatiliteit, uncertainty of onzekerheid, complexiteit en ambiguïteit. De fabels bieden op z’n best de illusie van zekerheid. Als het écht tegenzit blokkeren ze effectief omgaan met risico. Een vaardigheid die velen in organisaties dagelijks nodig hebben om vaak ambitieuze doelen te realiseren, ondanks onzekerheid. En met acceptabele veiligheid, voor alle betrokkenen.

Dr. Martin van Staveren adviseert organisaties over anders omgaan met risico’s. Zijn missie is om daarmee effectiviteit en welzijn te vergroten, binnen én buiten organisaties. Martin is ook kerndocent aan de executive masteropleidingen Risicomanagement en Public Management, Universiteit Twente. Begin 2015 verscheen zijn boek Risicogestuurd werken in de praktijk bij uitgeverij Vakmedianet.

Martin van Staveren - Risico op 1 a4 column
14 april 2017 | Martin van Staveren

Om effectief om te kunnen gaan met risico’s is iets van een risicodossier wel handig. Het hoeft niet meer te zijn dan een actielijstje met aandachtspunten. Toch loopt dit vaak flink uit de hand. En dat begint met de verkeerde vraag.

Je kent die vraag waarschijnlijk ook wel. Die vraag om het complete risicodossier. Een vraag die verraadt dat de vragensteller nog niet helemaal thuis is in de wereld van effectief en realistisch omgaan met risico's. Immers, we weten niet wat we niet weten. Een zwarte zwaan, die onbekende onbekende, kan altijd komen aanvliegen.

De vraag om het complete risicodossier legt ook nog iets anders bloot: angst. De vrees om iets over het hoofd te zien, en daar later stevig op afgerekend te worden: ‘Hoe heb je dat nu kunnen missen?' Dit leidt niet zelden tot risicodossiers met tientallen of zelfs honderden risico's. Het toch wat tragische record dat ik tot dusverre heb gehoord lag boven de 500 risico's. Het exacte getal heb ik verdrongen. Dit betrof bepaald geen multinational met een miljardenomzet. Onnodig te zeggen dit een onhanteerbare brij van risico's oplevert. Met maximaal de illusie van controle.

Hoe hier mee om te gaan? Door twee eenvoudige stappen te zetten. De eerste stap is dat alle betrokkenen bij het opstellen van een risicodossier hun eigen actuele zorgen vertalen in concrete risico's. Voor zover het tenminste geen bestaande problemen zijn. Risico's zijn immers effecten van onzekere gebeurtenissen of situaties op beoogde doelen. Ze zijn nog niet opgetreden en dus hoogstens potentiële problemen. Die doelen kun je breed zien, dat kunnen ook projectresultaten of uitkomsten van processen zijn. Door deze eerste stap te zetten ontstaat in elk geval een relevant en doelgericht risicodossier, omdat daar de zorgen van alle betrokkenen in zijn opgenomen.

Deze eerste stap richt zich dus op de actuele situatie. De daarop volgende tweede stap kijkt wat verder in de toekomst. Hierbij gaan alle betrokkenen na of er nog ontbrekende risico's zijn, die binnen nu en bijvoorbeeld een jaar relevant kunnen worden. Ook hier zijn doelen weer het uitgangspunt. Door dit met een diverse groep personen te doen ontstaat een divers beeld. Probeer je ook nu weer te beperken tot maximaal enkele risico's per persoon.

En dat is het dan. Er is nu een risicodossier opgesteld met alle relevante risico's, voor nu en in de nabije toekomst. Inderdaad, dit is verre van compleet. Maar wél razend relevant. Zodat de urgentie wordt gevoeld om iets aan die risico's te doén. Maatregelen te nemen, daar waar nodig.

Deze aanpak is een uitwerking van één van de 20 accentverschillen van risicogestuurd werken ten opzichte van gebruikelijk risicomanagement: van compleetheid naar keuzes maken. Keuzes maken op basis van relevantie. Dus, relevantie gaat voor compleetheid. Probeer het eens, en kijk wat het oplevert. In elk geval een compact en hanteerbaar risicodossier, met échte betrokkenheid van alle betrokkenen.

Dr. Martin van Staveren adviseert organisaties over anders omgaan met risico’s. Zijn missie is om daarmee effectiviteit en welzijn te vergroten, binnen én buiten organisaties. Martin is ook kerndocent aan de executive masteropleidingen Risicomanagement en Public Management, Universiteit Twente. Begin 2015 verscheen zijn boek Risicogestuurd werken in de praktijk bij uitgeverij Vakmedianet.

Martin van Staveren - Kans, wat doe je eraan? column
14 maart 2017 | Martin van Staveren

Het leuke van opleidingen en workshops is de diversiteit aan vragen van deelnemers. Soms belandt zo’n prikkelende vraag weken later in m’n mailbox.

Zoals een vraag over het bepalen van de kansen of waarschijnlijkheden van risico’s. Deze was ontstaan vanuit de wens van management teamleden, om daar één rekenformule voor te kunnen benutten. Wishful thinking? En wat doe je daar aan, als interne of externe adviseur?

Een adviseur operational control & risk van een zorgverzekeraar mailde me het volgende: ‘Voor het bepalen van de kans op een risico gebruiken wij een heat map. Ik krijg de laatste tijd veel vragen vanuit het MT over hoe nu het beste de kans bepaald kan worden. Dit vind ik best lastig, aangezien een aantal MT-leden het liefst graag een formule gebruikt om de kans te berekenen.’ Mooie vraag.

Eerst iets over de heat map. Dat is een kans-gevolg diagram. Op één as staat de kans van optreden van een risico. Op de andere as staan de gevolgen bij optreden. Vaak zijn er drie of vijf kansklassen en evenveel gevolgklassen. De wat geavanceerdere versie onderscheidt diverse gevolgen, bijvoorbeeld op het gebied van veiligheid en financiën. Soms zijn de kans- en gevolgklassen beschrijvend van aard, met woorden die variëren van zeer klein tot zeer groot. Andere organisaties kwantificeren de kansklassen, bijvoorbeeld door voor een kleine kans van optreden een waarschijnlijkheid tussen de 1 % en 5 % aan te houden. Deze percentages kunnen overigens twee betekenissen hebben: een frequentie in zoveel procent van de gevallen, of een frequentie per tijdseenheid.

De populariteit van de heat map of risicomatrix stijgt, onder andere omdat in de herziene Nederlandse Corporate Governance Code uit 2016 het expliciet maken van risicobereidheid is opgenomen. Onder Principe 1.2 – Risicobeheersing – van deze code voor beursgenoteerde organisaties wordt immers het volgende gesteld: ‘Zij (lees het Bestuur) stelt de risicobereidheid vast en besluit welke maatregelen tegenover de risico’s worden gezet.’ Door de verschillende velden in de risicomatrix van een kleurcode te voorzien, meestal van groen, via geel en oranje naar rood, kan worden aangegeven welke risico’s al dan niet acceptabel zijn en maatregelen vergen. Dit alles staat of valt dus met de wijze en betrouwbaarheid van het inschatten van kansen of waarschijnlijkheden van risico’s, dé vraag waar de adviseur mee worstelt.

Een fijn wenselijk antwoord is op deze vraag helaas niet te geven. De wens van managers om een risicokans te berekenen herken ik, hoor ik ook nogal eens, is best begrijpelijk, én is meestal niet realistisch. Dé manier om een kans te schatten bestaat namelijk niet. Onder meer omdat dit sterk afhankelijk is van het type risico en de beschikbare informatie. Dé manier om de kans van optreden van een risico te berekenen bestaat al helemaal niet. Dit zijn echo’s uit een ver verleden, uit de tijd van ene Frank Knight, waar we nog steeds last van hebben. Dit was een econoom, die in z’n proefschrift uit 1921 het inmiddels volledig achterhaalde onderscheid maakte tussen risico en onzekerheid: risico is te berekenen, onzekerheid niet. Met de ISO 31000 definitie van risico als effect van onzekerheid op doelen, en een soortgelijke definitie in het herziene COSO-ERM framework, is deze benadering écht voltooid verleden tijd.

Alleen met voldoende en betrouwbare informatie zijn allerlei statistische methoden en benaderingen te benutten voor het berekenen van waarschijnlijkheden van risico’s. Big data kan hier uiteraard een nuttige rol in spelen. Een zorgverzekeraar zal voor bepaalde operationele verzekeringsrisico’s dergelijke data kunnen benutten, en de bijbehorende kansen dus wel degelijk kunnen berekenen. Echter, voor bijvoorbeeld strategische risico’s is dit lastig, en waarschijnlijk onmogelijk. Voor dergelijke risico’s is de benodigde informatie er niet, te beperkt, en / of onbetrouwbaar. Dan komt het aan op inschattingen van ervaringsdeskundigen – de educated guess van vakmensen - waarbij subjectiviteit en bias onvermijdelijk zijn.

Terug naar de hoofdvraag: wat hieraan te doen? Een eerste en essentiële stap voor alle betrokken managers is bewustwording over de realiteit van risico’s. De illusie verlaten, dat het classificeren van risico’s op basis van kansen en gevolgen een harde wetenschap is. Dit vereist basiskennis over en inzicht in begrippen als onzekerheid, risico en risicoperceptie. Kennis, die door nogal wat managers wel overtuigend wordt geveinsd, maar er na enig doorvragen niet blijkt te zijn. Au. Hier kan de adviseur hulp en troost bieden. Een tweede stap, voor de iets langere termijn, is het organiseren van diversiteit. Hiermee kun je (te) eenzijdige risicopercepties onschadelijk maken, doordat verschillen in percepties aan de oppervlakte komen. Een grote valkuil bij dit alles is het risicogesprek maar niet aan (durven) gaan. De risicobereidheid van de organisatie blijft dan onuitgesproken. Dit is niet alleen strijdig met de eisen vanuit de herziene Corporate Governance Code. Anno 2017 moeten we dit gewoon niet meer willen. Dus, pak die kansen, om wat aan de risicokans te doen.

Dr. Martin van Staveren adviseert organisaties over anders omgaan met risico’s. Zijn missie is om daarmee effectiviteit en welzijn te vergroten, binnen én buiten organisaties. Martin is ook kerndocent aan de executive masteropleidingen Risicomanagement en Public Management, Universiteit Twente. Begin 2015 verscheen zijn boek Risicogestuurd werken in de praktijk bij uitgeverij Vakmedianet.

Martin van Staveren - Risicokramp – waar ligt jouw grens? column
20 februari 2017 | Martin van Staveren

Bijna iedereen kent het wel: kramp. Pijnlijk, geen prettig gevoel. Je gaat je er krampachtig door gedragen. Je maakt je zorgen, gaat het wel snel over? Een bijzondere en steeds vaker voorkomende vorm van kramp is risicokramp. Hier lijden veel organisaties aan, zowel bedrijven als organisaties in de semipublieke en publieke sector. Het lijkt wel besmettelijk.

In organisaties waar risicokramp heerst wordt, koste wat het kost, elk risico vermeden. Zeldzame risico’s met kleine kansen van optreden worden opgeblazen en voorzien van doorgeschoten maatregelen. Dit kan ver gaan, zo zal blijken. Het betekent een overdaad aan procedures, protocollen en controles, die het gezonde verstand continue tarten.

Zo beweerde een topman van een grote bank laatst dat maar liefst 25% van zijn personeelsbestand zich met risicobeheersing en -controle bezig houdt. Het gewoon uitvoeren van het dagelijkse werk van die andere 75% wordt er flink door gehinderd. Met vele nadelige gevolgen: minder klantvriendelijk kunnen werken, onnodige vertraging, bijvoorbeeld bij een kredietaanvraag, en torenhoge kosten. Want die 25% beheers- en controlekosten moet wél ergens van betaald worden. ‘Het moet van de toezichthouder’, is vaak het verweer. Is dat écht zo? Of is het eigenlijk ook wel lekker veilig, die permanente vorm van risicokramp? Ook al voelt het niet goed.

Een ander voorbeeld van serieuze risicokramp werd me onlangs aangereikt vanuit de zorgsector. Een toonaangevende en dure Amerikaanse organisatie waart de laatste tijd door diverse Nederlandse ziekenhuizen: de Joint Commission International, afgekort tot JCI. ‘We provide leadership and innovative solutions to help health care organizations across all settings improve performance and outcomes.’ Aldus de website van deze organisatie. Nu volgen enkele voorbeelden van dergelijke innovatieve oplossingen, die tot betere zorg zouden moeten leiden. Een disclaimer vooraf: hier volgt geen grap. De maatregelen zijn écht op een kinderafdeling van een ziekenhuis ingesteld.

Voor ouders, die vaak urenlang, soms dagenlang, op zo’n kinderafdeling verblijven, liggen wat tijdschriften in de ouderkamer. Die zijn achtergelaten door andere ouders, of neergelegd door betrokken medewerkers. Volgens het nieuwe protocol hebben die tijdschriften een houdbaarheid van 3 maanden. Dan moeten ze worden weggegooid. Om dat te kunnen controleren moet – extra taak voor de toch al vaak overvraagde verpleegkundigen – elk tijdschrift van een witte sticker worden voorzien, met daarop de datum van ingebruikname. En wel hetzelfde type sticker als op de voeding wordt geplakt. En, let op, kom je als verpleegkundige onverhoopt een tijdschrift tegen, waarvan uit de sticker blijkt dat het over de datum is, gooi het dan onmiddellijk weg!

Dit is niet de enige Kafkaiaanse maatregel, die de verlichte organisatie uit de VS heeft opgelegd. Zo zijn de badeendjes intussen verboden op de betreffende kinderafdeling. Sterker nog, al het speelgoed voor in bad is weggegooid. Dit in verband met de hygiëne. En er komt geen nieuw badspeelgoed. Ook al werd al het speelgoed na gebruik gedegen gereinigd. Ook al blijven kinderen met besmettelijke virussen op hun eigen kamer. Hoezo kindvriendelijke afdeling? Wanneer wordt de speelkamer preventief geruimd?

Nog één voorbeeld: de poster met reanimatie-instructies in de ‘spoedkamer’. Deze moet worden verborgen achter een rolgordijn. Want zo’n poster is niet kindvriendelijk. Het kan tere kinderzieltjes verstoren. Ze hebben immers ook al geen badeendjes meer… Nu maar hopen dat het rolgordijn snel oprolt, tijdens een acute reanimatie-situatie. Ik zie een nieuw risico…

Na deze voorbeelden doemt bij mij een hele concrete vraag op: waar leggen we de grens? Welke gradatie van risicokramp kan je als ervaren professional of leidinggevende écht niet meer verdragen? Niet alleen omdat het je stevig belemmert in je dagelijkse werk. Ook omdat het je reduceert tot, ik heb er geen beter woord voor, een professionele imbeciel. Wanneer kom je in verzet? Ook al zijn de richtlijnen opgesteld door een duurbetaalde en toonaangevende Amerikaanse organisatie? Ik heb begrepen dat één Nederlands ziekenhuis ze de deur al heeft gewezen. Wie volgt?

Dr. Martin van Staveren adviseert organisaties over anders omgaan met risico’s. Zijn missie is om daarmee effectiviteit en welzijn te vergroten, binnen én buiten organisaties. Martin is ook kerndocent aan de executive masteropleidingen Risicomanagement en Public Management, Universiteit Twente. Begin 2015 verscheen zijn boek Risicogestuurd werken in de praktijk bij uitgeverij Vakmedianet.

Martin van Staveren - De actuele visie van David Packard column
16 januari 2017 | Martin van Staveren

Risicomanagement te belangrijk voor de afdeling risicomanagement. Dit is een parafrase van een beroemde uitspraak van David Packard: ‘Marketing is far too important to be left only to the marketing department!’

David Packard (1912-1996) was samen met William Hewlett oprichter van het befaamde Hewlett-Packard. Hij deed deze uitspraak in 1987, inmiddels 30 jaar geleden.

Opvallend: ik kwam deze uitspraak tegen in een boek over De marketingorganisatie van de toekomst... Was David Packard z'n tijd zo ver vooruit? Of is zijn uitspraak intussen weer actueel geworden, in ons turbulente digitale tijdperk?

In elk geval vind ik de overeenkomst met risicomanagement treffend. In veel organisaties zie ik de worsteling tussen centraal en decentraal risicomanagement, inclusief de verdeling van rollen en verantwoordelijkheden tussen de zogenoemde ‘Three Lines of Defence’ (TLoD).

Samengevat legt dit TLoD model de verantwoordelijkheid voor de uitvoering van risicomanagement in de 1e lijn bij het lijnmanagement, die voor de inrichting ervan in de 2e lijn - de afdeling Risicomanagement- , en die voor de controle erop in de 3e lijn – de interne auditor. In de praktijk neemt niet zelden de 2e lijn een groot deel van het risicomanagement van de 1e lijn over. Is dit erg? Ja, want het risico-eigenaarschap, in relatie tot het eigenaarschap voor de organisatie- afdeling- en teamdoelen, verwatert op deze manier.

Een positieve trend die ik waarneem is die van méér risico-verantwoordelijkheid terug naar de 1e lijn, het lijnmanagement, oftewel de dagelijkse business. Dit sluit aan bij de filosofie van risicogestuurd werken: effectief omgaan met risico's doe je vooral in bestaande werk- en managementprocessen. Om zo de gewenste uitkomst van die processen optimaal te ondersteunen, ondanks inherente onzekerheid en risico’s.

Wat mij betreft is het antwoord dus een overtuigend ja: in de VUCA-wereld van 2017 is risicomanagement te belangrijk om aan de afdeling Risicomanagement over te laten. Met dank aan David Packard.

Dr. Martin van Staveren adviseert organisaties over anders omgaan met risico’s. Zijn missie is om daarmee effectiviteit en welzijn te vergroten, binnen én buiten organisaties. Martin is ook kerndocent aan de executive masteropleidingen Risicomanagement en Public Management, Universiteit Twente. Begin 2015 verscheen zijn boek Risicogestuurd werken in de praktijk bij uitgeverij Vakmedianet.

Martin van Staveren - Lijstjestijd - En hoe daar met 4 vragen slim gebruik van maken column
4 januari 2017 | Martin van Staveren

Lijstjestijd is weer aangebroken. Met talloze overzichten, variërend van de Top 200 Invloedrijkste Nederlanders tot de Oliebollen Top 10. Sommigen komen voor beide in aanmerking.

Deze periode is ook geschikt om eens een eigen lijstje op te stellen en door te lichten: je Top 10 risico’s van het afgelopen jaar. Wat waren de meest relevante onzekerheden, die je van je doelen hebben kunnen afhouden? Is dat ook gebeurd? Wat leer je daarvan voor het komende jaar? Een korte eindejaar risico-evaluatie, aan de hand van vier vragen.

Vraag 1: welke risico’s hebben je dit jaar bezig gehouden?

Heb je expliciet inzicht in de Top 10 risico’s die je afgelopen jaar bezig hebben gehouden? Waar je energie, tijd en geld in hebt gestoken? Je zorgen over hebt gemaakt? Misschien wel een nacht wakker van hebt gelegen, of een nachtmerrie over hebt gehad? Ofwel, de relevante onzekerheden, die je organisatie-, team- of eigen werkdoelen flink hebben kunnen beïnvloeden, zowel negatief als positief? Wellicht kan je ze uit een bestaande risicolijst halen. Schrijf ze anders gewoon op.

Vraag 2: welke risico’s zijn dit jaar opgetreden?

Welke van die Top 10 risico’s zijn daadwerkelijk opgetreden? Hopelijk niet alle tien. Waren de effecten als verwacht? Denk hierbij aan extra kosten, vertragingen, kwaliteits- of veiligheidsproblemen, een deuk in je reputatie. Of vielen de effecten behoorlijk mee en bleek je eigenlijk iets of veel te bezorgd? Speelde angst een rol en was dat terecht? Heeft dat je afgeremd om kansen te benutten, die zo onaangeroerd zijn blijven liggen? En welke van die opgetreden risico’s waren niet voorzien? Waren ze redelijkerwijs voor niemand te voorzien, of heb jij ze niet zien aankomen? Wat zegt dat over je ontvankelijkheid voor de risico-indicatoren of zwakke signalen?

Vraag 3: welke risico’s zijn dit jaar niet opgetreden?

Waarschijnlijk is het grootste gedeelte van je Top 10 risico’s niet opgetreden. Komt dat door bewust en concreet genomen maatregelen, of speelde de factor geluk een hoofdrol? Als je maatregelen hebt genomen, waren die vooral op het verkleinen van de risicokans van optreden gericht, of vooral op het beperken van de risicogevolgen? Als het laatste het geval is, ga dan nog even terug naar vraag 2. Dit om na te gaan of de gevolgen zonder je maatregelen naar verwachting groter zouden zijn geweest. Indien je maatregelen vooral waren bedoeld om de risicokans van optreden te verkleinen, of om die helemaal weg te nemen, bij welke risico’s is dat gelukt? Is daar niet onevenredig veel energie, tijd en geld in gaan zitten? En als laatste punt, wat als je alle beheersmaatregelen van het afgelopen jaar zou hebben gehalveerd, wat had dat met de kennis van nu opgeleverd?

Vraag 4: wat betekent dit voor 2017?

Mee eens, het beantwoorden van bovenstaande vragen is helemaal niet zo eenvoudig. Sommige antwoorden kun je zelfs nooit helemaal geven. Want hoe kan je bijvoorbeeld aantonen, dat een risico vanwege een genomen maatregel niet is opgetreden? In plaats van ondanks die maatregel? Toch heb je niets anders dan een korte risico-evaluatie uitgevoerd. Dit is stap 5 van de 6 algemeen toepasbare risicostappen: doelen bepalen, risico’s in kaart, risico’s wegen, maatregelen overwegen en zo nodig uitvoeren, evalueren of ze werken, en dit alles beknopt rapporteren. Die evaluatie-stap wordt in de praktijk nogal eens wordt overgeslagen. En dat is jammer, want zo wordt er niet geleerd van omgaan met risico’s. Alleen al de drie voorgaande vragen kritisch beschouwen, zonder alle antwoorden te kunnen geven, geeft je immers veel inzicht in de effectiviteit en (kosten)efficiëntie van je eigen omgang met risico’s. Want één ding is zeker, 2017 gaat ons niet minder onzekerheden geven.

Dr. Martin van Staveren adviseert organisaties over anders omgaan met risico’s. Zijn missie is om daarmee effectiviteit en welzijn te vergroten, binnen én buiten organisaties. Martin is ook kerndocent aan de executive masteropleidingen Risicomanagement en Public Management, Universiteit Twente. Begin 2015 verscheen zijn boek Risicogestuurd werken in de praktijk bij uitgeverij Vakmedianet.

Martin van Staveren - Risicomanagement in vier valkuilen column
5 december 2016 | Martin van Staveren

Modern risicomanagement heeft nog steeds vier klassieke valkuilen. Die zijn niet nieuw, maar wel actueel. Fascinerend, hoe velen - professionals, leidinggevenden én zelfs risicomanagers - er steeds weer met open ogen en de beste bedoelingen invallen. Wat zijn die vier valkuilen? En hoe zijn ze te vermijden?

Valkuil 1: complexiteit

Laatst had ik een leidinggevende van een woningcorporatie – zeker niet de grootste – in een opleiding. Zij kreeg een update van het risicodossier binnen. Er stonden nu 543 risico’s in…. Wie kan en wil daar wat mee doen? Wie geeft dit aantal energie? Retorische vragen. Dit is de complexiteit van omvang. Een andere complexiteit is die van classificatie. Risico’s worden dan bijvoorbeeld beoordeeld op basis van 7 kans-klassen en 5 maal 7, ofwel 35 gevolgklassen. Met eindeloze discussies of een risico klasse 5 is of klasse 6. Voor klasse 6 moeten we escaleren naar het hogere management…

Risicomanagement is dus makkelijk moeilijk te maken. Het omgekeerde is veel lastiger. Hoe beperk je de complexiteit van risicomanagement? Bijvoorbeeld door elk risico aan doelen, taken, of eisen te koppelen. Een risico is dan een onzekere belemmering op weg naar het realiseren van dat doel, de taak of de eis. Daarmee worden risico’s gelijk relevant. Ook helpt het om scherpe keuzes te durven maken. Breng de 7 kans-klassen bijvoorbeeld terug tot 3 of misschien zelfs wel 2 klassen: grote kans en kleine kans. Grote kans dat hiermee de scherpte toeneemt.

Valkuil 2: getallen

Ja, ze zijn er nog steeds. Mensen die een risico alleen een risico noemen als het risico in een getal is uit te drukken. Een risico zonder kans en gevolg in bij voorkeur objectieve getallen is volgens hen géén risico, maar onzekerheid. What’s the bloody difference? In beide gevallen moet je immers een keus maken: doe ik iets, óf doe ik niets aan het risico dan wel de onzekerheid die m’n doel, taak of eis danig kan verstoren?

Wat helpt? In elk geval het benutten van een moderne definitie voor het begrip risico. Bijvoorbeeld die van ‘risico is het effect van onzekerheid op doelen’. Die is van de ISO. Opvallend is dat het nieuwe COSO risicomanagement framework – in Nederland en internationaal veel benut door de grotere bedrijven – risico’s ook aan doelen koppelt. Hierover lijkt dus wereldwijd brede consensus te ontstaan. Tevens verdwijnt hiermee het gekunstelde onderscheid tussen risico en onzekerheid, waar je in de praktijk zo bijzonder weinig aan hebt. Wat ook helpt: accepteren dat veel risico-inschattingen noodzakelijkerwijs subjectief zijn, wegens gebrek aan harde data. Ook al brengt Big Data hier af en toe verlichting, vaak komt het toch aan op het durven kiezen: iets doen aan het risico, of toch maar niet?

Valkuil 3: illusie

Ook dit menstype loop je in de praktijk nog regelmatig tegen het lijf: de manager of bestuurder die echt verwacht dat met risicomanagement geen risico’s meer optreden. Let op de vraag die daar aan vooraf gaat: ‘Ik wil een complete en objectieve risicoanalyse.’ Het enige juiste antwoord is een tweemaal luidruchtig NEE. Een compleet risicodossier kan per definitie niet. Je weet immers niet wat je niet weet. Zo is zelfs het eerder genoemde risicodossier met 543 risico’s met zekerheid niet compleet. En dan die objectieve risicoanalyse. Ga eens na, weet jij een écht 100 % objectief risico te verzinnen? Dus een risico, waarvan de kans van optreden én alle mogelijke gevolgen volledig en feitelijk bekend zijn? Best lastig, voor een fenomeen dat inherent onzeker is.

Hoe prik je deze illusies door? Geduldig blijven uitleggen dat modern risicomanagement over optimaal leren omgaan met risico’s gaat. Dat er altijd wel iets onverwachts blijft optreden. Dat niemand met écht verstand van zaken het aandurft om risico’s 100 % objectief te noemen. En dat met het benutten van kennis, ervaring, diversiteit en gezond verstand veel risico’s wel degelijk heel behoorlijk in toom zijn te houden.

Valkuil 4: niets doén

Dat in toom houden van risico’s, dat vraagt wel om meer dan de lijst met risico’s: het risicodossier. Risico’s zijn daarin geïdentificeerd en geclassificeerd. Als het goed is, dan is elk risico ook gekoppeld aan een doel, taak of eis. Alleen, wordt er ook iets gedaan met zo’n risicoanalyse? Het opschrijven van maatregelen is een prima start, maar volstrekt onvoldoende. Immers, het gaat om het uitvoeren van die maatregelen. Althans, indien daarvoor expliciet is gekozen, wat lang niet altijd een (wettelijke) verplichting is.

Als inderdaad besloten is om iets aan een risico te doen, dóe dat dan ook. Alleen zo krijgt de papieren tijger tanden. Wat hierbij handig is: borg elke maatregel gewoon in werkwijzen, processen, activiteiten, of wat dan ook, wat er toch al is. Benoem dat expliciet in het risicodossier Dit in plaats van aparte risico-actielijsten, waar – paradoxaal – vaak geen tijd voor wordt vrijgemaakt. Bijvoorbeeld door tijdgebrek, vanwege het druk zijn met ‘brandjes blussen’. Dus doe iets aan de risico’s, als daartoe besloten is, en combineer dat met wat je toch al doet.

Stilstaan

Tot slot, hoe weet je nu of je deze vier valkuilen daadwerkelijk vermeden hebt? Door af en toe even stil te staan en jezelf, of je team, vier vragen te stellen:

 

1. Maken we risicomanagement niet te complex?

2. Kunnen we zonder risico-getallen toch een wijs besluit nemen?

3. Zijn we bezig om de illusie van volledige risicobeheersing te voeden?

4. Doen we écht wat we hebben besloten, over omgaan met risico’s?

 

Dit onder het nog niet zo bekende motto Wie stilstaat voor een valkuil, die valt er niet in.

Dr. Martin van Staveren adviseert organisaties over anders omgaan met risico’s. Zijn missie is om daarmee effectiviteit en welzijn te vergroten, binnen én buiten organisaties. Martin is ook kerndocent aan de executive masteropleidingen Risicomanagement en Public Management, Universiteit Twente. Begin 2015 verscheen zijn boek Risicogestuurd werken in de praktijk bij uitgeverij Vakmedianet.

Martin van Staveren - Big data – large impact – big business column
11 november 2016 | Martin van Staveren

Big data is hot in allerlei sectoren, van de verzekeringssector, de bankensector, de industrie, de bouw en infra tot en met de gezondheidszorg. Bestaande werkprocessen gaan op de schop en nieuwe ontstaan.

Dit leidt tot producten en diensten die beter zijn afgestemd op de behoeften van klant en patiënt, sneller beschikbaar zijn of een hogere kwaliteit hebben. Voor betrokken bedrijven en ook overheidsorganisaties biedt big data zo ongekende mogelijkheden voor innovatie. Dit heeft een grote maatschappelijke impact en kan leiden tot big business. Hier volgen wat dynamische voorbeelden uit de ooit wat saaie verzekeringssector, met verstrekkende gevolgen. Ter inspiratie voor andere sectoren.

Big data in 4 x V

Altijd handig om vooraf even scherp te stellen waar we het eigenlijk over hebben. Buzzwoord big data, wat is het eigenlijk? Vaak wordt het beschreven aam de hand van vier V’s. De eerste V staat voor volume, ofwel de enorme hoeveelheid gegevens die beschikbaar komt door onze moderne technologie. De tweede V staat voor variatie. Veel gegevens komen immers van verschillende bronnen zoals GPS, smartphone en allerhande sensoren. De derde V staat voor velocity, ofwel snelheid. Veel gegevens zijn vrijwel real time, dat wil zeggen op het moment van ontstaan, ook gelijk beschikbaar. De vierde V staat voor value, ofwel waarde. Je zou kunnen zeggen dat de combinatie van de voorgaande 3 V’s de potentiele waarde levert. Dit is uiteindelijk waar het uiteindelijk om gaat en hier ligt de creatieve uitdaging voor veel organisaties: hoe kun je met big data daadwerkelijk onderscheidende toegevoegde waarde leveren? Bijvoorbeeld in het omgaan met risico’s?

Big Data - Large Impact

Wat wordt de impact van big data op ons dagelijkse leven? Deze vraag is nog nauwelijks te beantwoorden. Daarom heeft het Rathenau Instituut onderzoek gedaan naar de veranderingen die het big data tijdperk met zich meebrengt voor met name de verzekeringspraktijk. Dit leverde een zeer leesbaar en fascinerend rapport op: 'Berekende risico’s: Verzekeren in de data-gedreven samenleving'. Het beschrijft een aantal trends, trekt scherpe conclusies en geeft werkbare aanbevelingen.

Nieuwe datacombinaties

Een voorbeeld is de ontwikkeling van ‘verzekeren leidt tot data’, naar ‘data leiden tot verzekeren’. Dit is razend interessant, want het betekent immers dat op basis van creatieve nieuwe datacombinaties allerlei nieuwe verzekeringsproducten kunnen worden ontwikkeld. Deze lijn kunnen we doortrekken naar andere sectoren: uit nieuwe datacombinaties kunnen volledig nieuwe producten en diensten ontstaan.

De verzekering en big data

Laten we eens kijken naar de voor iedereen bekende verzekering. Van oudsher is het de taak van de verzekeraar om in geval van opgetreden risico’s financiële compensatie te bieden, om daarmee schade en bijbehorend leed zoveel mogelijk te verzachten. In termen van risicomanagement is dit gevolg-reductie. Risico’s kunnen vaak ook door middel van kans-reductie of preventie worden aangepakt. Dan treden ze wellicht niet eens en hoeven dus geen gevolgen te worden gecompenseerd, waarbij tevens veel leed wordt bespaard. Daarom is ook een andere big data trend interessant, die van het gebruik van vooral zogenoemde statistische risico-indicatoren naar het benutten van structureel inzicht in risicogedrag.

Leeftijd als statische indicator

Een voorbeeld van zo’n statische indicator de leeftijd van een automobilist. Op basis van relatie tussen leeftijd en schade is de conclusie bijvoorbeeld dat jonge mannelijke automobilisten gemiddeld meer schade veroorzaken dan oudere of vrouwelijke automobilisten. Stel dat een heel klein kastje in de cabine het rijgedrag van de chauffeur op basis van parameters als remgedrag, plotseling uitwijken en dergelijke, continue registreert. Dan ontstaat een vorm van big data over het daadwerkelijke rijgedrag van het betreffende individu, die veel specifieker is dan de gemiddelde relatie tussen leeftijd en schade. Dit kan leiden tot bedrijfs- en persoonsgerichte premiedifferentiatie en zo kosten besparen. En ook nog eens tot veiliger en zuiniger rijgedrag leiden.

Science fiction?

Helemaal niet. Voor ons particulieren zijn er inmiddels al diverse rijgedragverzekeringen in omloop. Die kunnen maandelijks tot 35 % premiekorting leiden, mits we wel netjes blijven rijden. Parallellen vanuit rijdgedrag zijn eenvoudig te trekken naar voedingsgedrag en bewegingsgedrag. Hoeveel korting wil je op je ziektekostenpremie?

En de ethiek dan, hoe zit het daarmee?

Klinkt allemaal prachtig, maar er zitten wel de nodige morele en ethische haken en ogen aan, bijvoorbeeld op het gebied van solidariteit en privacy. Hoe lang zijn we vanuit het solidariteitsprincipe nog bereid te betalen voor onze soortgenoten, die minder veilig en gezond leven dan wij zelf doen? Wat wij aan premie besparen moeten zij immers extra gaan betalen. En hoe lang blijft al die toch wel persoonsgebonden data bewaard en hoe veilig is dat? Ofwel, hoeveel privacy zijn we bereid in te leveren, in ruil voor een lagere premie? Food for thought.

Big data = big business

Naast de grote impact van big data, met de nodige morele en ethische haken en ogen, biedt het voor sommige bedrijven al big business. Ontwikkelingen in dat grote land aan de andere kant van de oceaan blijken vaak van een signaal voor wat ons in Nederland te wachten staat. Een voorbeeld is een Amerikaans bedrijf, dat nu al klinkende munt uit het verzamelen, analyseren en weer verkopen van big data haalt: Lexis Nexis Risk Solutions (LNRS). Dit is één van de vier divisies van het Brits-Nederlandse RELX, voorheen bekend als Reed Elsevier. LNRS had in 2015 een omzet van maar liefst 1,92 miljard euro, met een bruto bedrijfsresultaat van 714 miljoen euro. Dit geeft een bruto marge van ruim 37 %, iets waar menig bedrijf alleen maar van kan dromen.

De waarde van de eCrash app

Dé vraag die zich direct opdringt: wát doet LNRS dan eigenlijk, dat zoveel waarde toevoegt aan klanten als verzekeraars en banken? En ook aan overheden, zorginstellingen en luchtvaarmaatschappijen?

Een voorbeeld. LNRS heeft de app eCrash ontwikkeld. Deze wordt als schadeformulier gebruikt door agenten, die na een verkeersongeval de schade opnemen. Op basis van data uit openbare bronnen worden in deze app veel gegevens automatisch ingevuld. Hierdoor is de tijdsduur dat de politie langs de snelweg staat met tweederde afgenomen, van gemiddeld 61 naar 19 minuten. Niet gek. Zeker als je bedenkt, dat in de VS meer agenten op locaties van verkeersongevallen door aanrijdingen om het leven komen, dan door schietincidenten. Opvallend, eCrash is geheel gratis aan de politie verstrekt. LNRS verdient het geld namelijk met de verkoop van de eCrash informatie over ongelukken, aangevuld met relevante data, aan bijvoorbeeld verzekeraars.

Nederlands voorbeeld

Een veelbelovend Nederlands initiatief is de Community Index. Dit is een softwaredienst, die op basis van cloud service lokale overheden, zorginstellingen en onderzoeks- en adviesbureaus voorziet van data en bijbehorende analysetools. Het combineren van data en de visualisatie hiervan kunnen leiden tot allerlei nieuwe inzichten en veelbelovende verbeterde dienstverlening. Deze is nu vooral nog gericht op gemeenten en zorginstellingen. Waarom binnenkort niet iets soortgelijks, voor allerlei andersoortige organisaties en sectoren? Wie neemt het initiatief en benut deze kans, zolang Lexis Nexis Risk Solutions nog geen kantoor in Nederland heeft?

Dr. Martin van Staveren adviseert organisaties over anders omgaan met risico’s. Zijn missie is om daarmee effectiviteit en welzijn te vergroten, binnen én buiten organisaties. Martin is ook kerndocent aan de executive masteropleidingen Risicomanagement en Public Management, Universiteit Twente. Begin 2015 verscheen zijn boek Risicogestuurd werken in de praktijk bij uitgever Vakmedianet.

Martin van Staveren - Freud, risico & realiteit column
7 oktober 2016 | Martin van Staveren

Sigmund Freud is natuurlijk beroemd als grondlegger van de psychoanalyse. Iets minder bekend is zijn nog steeds actuele cultuurkritiek, zoals verwoord in het essay Das Unbehagen in der Kultur uit 1930.

Schrijver en cultuurcriticus Bas Heijne analyseerde deze gedachten van Freud onlangs in een artikel in NRC, met de veelzeggende titel Iets kapotmaken is lekker. Dit inspireerde mij tot het leggen van een relatie met de fenomenen risico en realiteit. Vergezocht? Valt te bezien.

Freud onderscheidt twee oerdriften én een principe dat beide in toom zou moeten kunnen houden. De eerste oerdrift is het lustprincipe. Wij mensen streven, bewust of onbewust, naar een zo groot en lang mogelijke genots- en gelukbeleving. Werkelijk ál ons handelen schijnt hier op gericht te zijn. Dit kan een verklaring zijn voor het feit dat sommigen onder ons wel iets zien in gestructureerde en expliciete benaderingen om met risico’s om te gaan. Oftewel risicomanagement. Daarmee zouden we immers onheil kunnen voorkomen of beperken, wat een bijdrage levert aan het bevorderen van genot, geluk en daarmee welzijn in de samenleving. Punt is alleen dat het gangbare risicomanagement hierbij op allerlei terreinen nog al eens te kort schiet. Ondanks afdelingen risicomanagement met dito managers, protocollen en procedures treden sommige van die verdraaide risico’s toch nog steeds op. De realiteit als stoorzender van de oerdrift.

Alvorens de tweede oerdrift te bespreken daarom eerst iets over het centrale principe van Freud om beide driften in toom te houden. Dit is het realiteitsprincipe. Ofwel, het rationele besef van redelijk denkende wezens. Immers, we weten het eigenlijk best wel. Niet alles wat we volgens onze lusten nu graag zouden willen – ik laat het aan de lezer om dit aantrekkelijk in te vullen – is nu of straks daadwerkelijk mogelijk. Bijvoorbeeld omdat we anderen daarmee serieus onheil aandoen. De filosoof Emanuel Kant heeft dit in de 17e eeuw al verwoord met zijn zogenoemde categorische imperatief. Vrij vertaald: handel alleen op een wijze waarvan je zou willen dat iedereen zo zou handelen. Onnodig te zeggen dat het realiteitsprincipe vrijwel continu stevig schuurt met het lustprincipe. Net als het inmiddels klassieke, instrumentele en op maakbaarheid gerichte risicomanagement schuurt met de realiteit van omgaan met risico’s. Waarbij risicobeheersing of -vermindering lang niet altijd een realistische optie is.

Dan nu de overgebleven oerdrift. Schrik niet, Freud noemde dit de doodsdrift. Hij vond het lustprincipe, en het realiteitsprincipe voor benodigde tegenwicht, namelijk nogal rationeel van aard. Er zou nog iets fundamenteels ontbreken: een diep menselijk verlangen om te vernietigen... Dit zou zelfs de genotsdrift kunnen bevredigen. Dat wat niet zich niet voegt naar de oerdrift van genot en geluk, omdat de realiteit er tussen komt, kan dus via de doodsdrift worden vernietigd. Alsnog genoegdoening.

Misschien ga ik nu wat ver, maar zou de neiging van het niet willen (h)erkennen van risico’s kunnen worden herleid tot een soort doodsdrift? Deze neiging ervaar ik nogal eens in allerlei organisaties en sectoren. In dergelijke organisaties wordt door bestuurders, managers of professionals namelijk alles in het werk gesteld om maar níet expliciet en gestructureerd met risico’s om te gaan. Het start al met het niet willen zien van risico’s. Is het omdat een dergelijke aanpak de overambitieuze en mooi gepresenteerde doelen van dergelijke personen uitkleedt? En dat zo de naakte realiteit zichtbaar wordt: dat die doelen – eigenlijk manifestaties van het lustprincipe – totaal niet realistisch en haalbaar zijn?

Samenvattend, we kunnen nog steeds veel van Freud leren, in het kader van risico’s en realiteit. Bijvoorbeeld dat we te kampen hebben met twee oerdriften, die het realistisch omgaan met risico’s vrijwel dagelijks in de weg staan. Volgens het lustprincipe proberen we elk risico uit te bannen. Volgens de doodsdrift negeren we ze. Het is aan ons weldenkende realiteitsprincipe om beide driften te (h)erkennen én te kanaliseren. Dit is misschien wel de hoofdtaak van de moderne risicomanager.

Dr. Martin van Staveren adviseert organisaties over anders omgaan met risico’s. Zijn missie is om daarmee effectiviteit en welzijn te vergroten, binnen én buiten organisaties. Martin is ook kerndocent aan de executive masteropleidingen Risicomanagement en Public Management, Universiteit Twente. Begin 2015 verscheen zijn boek Risicogestuurd werken in de praktijk bij uitgever Vakmedianet.

Digitale transformatie vereist ánders omgaan met risico's column
29 september 2016 | Martin van Staveren

Organisaties worden in rap tempo digitaal werkende organisaties. Hierbij gaat het niet alleen om een andere inrichting van systemen. Hele (werk)processen gaan over de kop, met de bijbehorende competenties.

Dit alles brengt volop onzekerheden met zich mee en traditioneel risicomanagement is hiervoor géén oplossing. Hoe ga je wél effectief om met de (nieuwe) onzekerheden en risico’s van digitale werkprocessen? Waarom is traditioneel risicomanagement écht over de datum?

Je hoort het steeds meer: we leven in een VUCA-wereld. De afkorting VUCA is afkomstig uit het Amerikaanse leger en staat voor volatility, uncertainty, complexity en ambiguity. Ofwel een hedendaagse cocktail van beweeglijkheid, onzekerheid, complexiteit en meerduidigheid, binnen en buiten onze organisaties. Met daarin een glansrol voor het fenomeen digitalisering, dat zich met exponentiële snelheid lijkt te ontwikkelen. 

Hoe gaan we effectief om met de vele onzekerheden en risico’s, die hiermee gepaard gaan? Risicomanagement lijkt daarvoor te zijn uitgevonden. Echter, het gangbare risicomanagement is een kloon van Taylors Scientific Management, inmiddels zo’n eeuw oud. Het is een instrumentele aanpak met focus op voorspelbaarheid en controle, elementen waar de VUCA-wereld lak aan heeft. Het gangbare risicomanagement werkte wellicht in een voorspelbare wereld, in de VUCA wereld is het passé.

Dit leidt tot de risico-paradox: snel en effectief omgaan met risico’s – onzekerheden die doelen kunnen dwarsbomen - is misschien wel meer dan ooit noodzakelijk om als organisatie het eerstvolgende lustrum te halen. Denk bijvoorbeeld aan dure datalekken, cyberrisico’s of reputatierisico’s, die razendsnel via de sociale media escaleren. Echter, het gebruikelijke risicomanagement is vooral bekend – of berucht – vanwege z’n ellenlange risicolijsten en ingewikkelde rekenmodellen, met als uitkomst veelal schijnzekerheid. Volstrekt ongeschikt in het huidige digitale tijdperk. Hoogste tijd dus voor een nieuwe risicobenadering, die opvallend genoeg niet eens zo ingewikkeld hoeft te zijn. 

Van risicomanagement naar risicosturing: lijkt hetzelfde en is toch heel anders

De stap van knellend risicomanagement naar bevrijdende risicosturing is minder groot dan vaak gedacht. In de eerste plaats is het van belang om te onderkennen – sorry vakgenoten – dat alle risicobenaderingen eigenlijk hetzelfde zijn. Met andere woorden, alle risicostappen komen in essentie op hetzelfde neer: wat willen we bereiken, welke onzekerheden – risico’s – komen we daarbij tegen en wat gaan we daaraan doen? Deze stappen worden vaak in wat kleinere opgesplitst, zoals het onderscheid tussen risico’s in kaart brengen en ze classificeren, als groot of klein.

Risicosturing is in feite niets anders dan deze risicostappen expliciet en gestructureerd toepassen in bestaande of nieuwe werkprocessen. Digitale risicosturing is dit doen in de digitale werkprocessen. Eigenlijk hoeft hier niet eens een risicomanager aan te pas te komen. Diegene die verantwoordelijk is voor een proces in een organisatie, digitaal of traditioneel, zou immers ook verantwoordelijk moeten zijn voor het effectief omgaan met de onzekerheden, die in dat proces zitten? En toch is risicosturing ook weer heel anders dan risicomanagement. Dit zit dus niet zozeer in wat de risicostappen zijn, als wel in hoe ze worden uitgevoerd. 

Risicogestuurde digitale transformatie: niets minder dan een procesinnovatie

Risicosturing, of risicogestuurd werken, stelt namelijk niet de methoden maar de mens centraal. Risicomethoden en -procedures dienen de mens. Bij het gebruikelijke risicomanagement is dit vaak andersom. Dit betekent wel dat die mens in staat moet worden gesteld om de relevante onzekerheden en risico’s - die significante impact kunnen hebben op doelen en resultaten – recht in de ogen te kijken. En daar ontbreekt het nog al eens aan. 

Risicosturing betekent bijvoorbeeld dat er open over risico’s wordt gesproken. Dit klinkt logisch, maar is het niet in veel organisaties. Angst regeert dan, bijvoorbeeld in de bekende ‘afrekencultuur’. Die nodigt niet uit om een open risicogesprek met een leidinggevende aan te gaan, of om een andere risicoperceptie te hebben. Iets wat heel natuurlijk is. Risicogestuurd werken betekent dat zulke verschillen in risicopercepties op tafel komen, zonder ze te labelen als goed of fout. Hierbij helpt het als kristalhelder is welke koers de organisatie vaart, en welke risico’s daardoor al dan niet acceptabel zijn. En niet te vergeten dat er scherpe – vaak lastige – keuzes worden gemaakt in de eventuele beheersing van risico’s. Waarbij bewust niets doen óók een optie is. 

Al deze vaak als soft getypeerde kenmerken van omgaan met risico’s, hier komen immers geen harde rekenmodellen aan te pas, zijn in veel organisaties nog geen gemeengoed. Met andere woorden, risicogestuurd werken is dan nieuw. Het kan dus als een procesinnovatie worden beschouwd. Het is immers op een andere, expliciete en gestructureerde wijze omgaan met onzekerheden. Om ondanks dat toch de vaak ambitieuze doelen te kunnen realiseren. Het goede nieuws is dat over procesinnovaties de nodige kennis en ervaring breed beschikbaar is. Die kan dan ook gewoon toegepast worden bij de ontwikkeling van risicogestuurd werken.

Effectief omgaan met de (nieuwe) risico’s van digitale werkprocessen

Tijd om de balans op te maken. We leven in een wereld die zich razendsnel digitaliseert. Dit gaat gepaard met vele soorten (nieuwe) risico’s, die we op dit moment vaak nog niet eens kennen: de onbekende onbekenden. Traditioneel risicomanagement is hier niet op ingesteld en schiet hierbij hopeloos te kort. Het goede nieuws is dat de gangbare risicomanagementstappen wel degelijk bruikbaar blijken en blijven. Mits ze wel volledig worden geïntegreerd in de (digitale) werkprocessen door de direct verantwoordelijken en betrokkenen. Dit vereist een organisatie met leiderschap dat expliciet omgaan met risico’s motiveert en stimuleert. Noem het risicoleiderschap. Hiermee zijn we goed in staat om wendbaar en effectief om te gaan met de vele onzekerheden rondom digitale werkprocessen. En misschien nog belangrijker, om ook alle kansen die er mee samenhangen te benutten.

Dr. Martin van Staveren adviseert organisaties over anders omgaan met risico’s. Zijn missie is om daarmee effectiviteit en welzijn te vergroten, binnen én buiten organisaties. Martin is ook kerndocent aan de executive masteropleidingen Risicomanagement en Public Management, Universiteit Twente. Begin 2015 verscheen zijn boek Risicogestuurd werken in de praktijk bij uitgever Vakmedianet.

Martin van Staveren: Stoer doen column
12 september 2016 | Martin van Staveren

Stoer doen staat voor indruk willen maken, door flink en sterk te zijn. Dit is niet voorbehouden aan de leden van een motorclub. Ook veel bestuurders, managers en professionals doen stoer. Door langdurig hard werken, met weinig slaap.

Neem de all-nighter in de bankenwereld: na een nacht doorwerken met de taxi naar huis. Die blijft wachten terwijl je een snelle douche neemt en dan weer “fris” retour kantoor. Zo overleed in 2013 een stagiair van een zakenbank in de Londense City. Zijn acht doorgehaalde nachten in twee weken maakten wel indruk, maar bleken teveel voor het lichaam.

Ik moest hieraan denken vanwege een artikel in de Volkskrant, 'De gevaren van een dienst zonder einde'. In dit stuk pleiten twee vooraanstaande hoogleraren, beide praktiserend medisch specialist, voor het einde van 24-uursdiensten in de zorg. Die vormen namelijk een vermijdbaar risico voor de patiënt. Misschien zelfs wel een onaanvaardbaar risico. Dit in vergelijking met veel andere risico’s, waar wél maatregelen tegen worden genomen. Uit wetenschappelijk onderzoek is het immers al jaren bekend: lang wakker blijven heeft op mentale scherpte en reactievermogen hetzelfde effect als alcohol. In het wegvervoer is daarom al 40 jaar geleden de rijtijdenregeling ingevoerd. In de luchtvaart, vaak hét veiligheidsvoorbeeld voor de gezondheidszorg, zitten piloten sinds 2013 door strengere vliegtijden maximaal 11 uur achter de stuurknuppel.

Met de groeiende aandacht voor patiëntveiligheid is de 24-uursdiensten discussie een forse quick win in risicobewustzijn. Wat schetst dan ook mijn verbazing? De Inspectie voor de Gezondheidszorg vindt de 24-uursdiensten een zaak van medisch specialisten zelf. Die houdt zich zo buiten de discussie en wil zich er blijkbaar niet aan branden. De Federatie van Specialisten vindt het signaal belangrijk, maar ziet niets in stoppen met 24-uursdiensten. Hoezo is het signaal dan belangrijk?

Volgens mij is het vermoeidheidsrisico ook in andere sectoren relevant en navenant lastig bespreekbaar. Denk aan openbaar bestuur en politiek, consultancy, de bouw- & infra, de industrie en de al in het begin genoemde financiële wereld. Dus managers, directieleden en bestuurders aldaar, hier ligt een stoere taak voor u: het anders organiseren van te lange diensten, marathonvergaderingen en structureel overwerken.

Niet gelijk met strakke regels en protocollen. Begin met het bespreekbaar te maken. Sommige ziekenhuizen doen dit al. Het kan toch niet zo zijn, dat in allerlei sectoren vele soorten kostbare veiligheidsmaatregelen worden genomen, maar dat een foutenbron als oververmoeidheid onaangeroerd blijft? Terwijl bijvoorbeeld uit recent onderzoek van de Universiteit Twente volgt, dat één op de acht specialisten burn-out klachten heeft? Stoer doen anno 2016? Dat is elkaars vermoeidheidsgrenzen (h)erkennen, én ernaar handelen.

Dr. Martin van Staveren adviseert organisaties over anders omgaan met risico’s. Zijn missie is om daarmee effectiviteit en welzijn te vergroten, binnen én buiten organisaties. Martin is ook kerndocent aan de executive masteropleidingen Risicomanagement en Public Management, Universiteit Twente. Begin 2015 verscheen zijn boek Risicogestuurd werken in de praktijk bij uitgever Vakmedianet.

Rio & Risicosturing column
21 augustus 2016 | Martin van Staveren

De Olympische Spelen in Rio de Janeiro geven geweldige lessen in risicosturing. Het doel van de topsporter is kristalhelder: winnen! Op weg naar dat doel doemen dagelijks onzekerheden op, zoals blessures en weersomstandigheden. Hieronder volgt een aantal sprekende voorbeelden van individuele Nederlandse Olympiërs en hun rol in risicosturing. Om spelenderwijs van te leren.

Over het naar huis sturen van turner Yuri van Gelder is vrijwel alles gezegd. Voor mij rest één conclusie: een typisch geval van verschillen in risicoperceptie. Lijden prestaties, reputaties en teamgenoten nu wel, nauwelijks, of niet onder dat nachtje doorzakken? Toen het ‘doorzak-risico’ was opgetreden, welke effect-reductie is dan optimaal? Terugsturen of ter plekke sussen? Tussen sporter en coach, en ook in de publieke opinie, bleek een gapend gat tussen ‘moet kunnen’ en ‘volstrekt ontoelaatbaar!’ Niet expliciet en tijdig uitgesproken perceptieverschillen, ze kunnen tot drama’s leiden.

Bij turner Epke Zonderland zat op het moment suprême een handleertje dwars. Hij verloor in de finale grip en smakte op de mat. Een tragische climax, na een jaar volop blessures en malheur. En toch vraag ik het me af: hoe kan het dat op zo’n cruciaal moment iets als een handleertje – al duizenden keren omgebonden – faalt? Sanne Wevers showde met haar fantastische ‘goud op de balk’ hoe je op één moment, na jaren voorbereiding, álles kan laten samenkomen. Mentaal en fysiek was ze al haar risico’s op de balk de baas.  

Zeilster Marit Bouwmeester – ook goud – bewees in het lastige water aan de voet van de beroemde Suikerbroodberg háár vorm van risicosturing. Als enige deelnemer trainde ze de vier jaar voor de Spelen zo’n driehonderd dagen ter plekke. Zo leerde zij zichzelf zeer effectief omgaan met alle relevante omgevingsrisico’s als stromingen, golven en wind. Zij gelooft dan ook niet zozeer in de magie van talent. Wél in die van keihard voorbereiden. Een prachtig voorbeeld van leren beheersen wat je aan onzekerheden en risico’s kán beheersen.

Een laatste voorbeeld: de gouden marathonzwemmer Ferry Weertman en het finishbord uit de doe-het-zelfzaak. Een briljante vorm van risicobeheersing, in alle eenvoud. Wat zag zijn coach Marcel Wouda als hét toprisico na 10 kilometer zwemmen? In het woelige water met je hand het finishbord niet goed raken. Dus knutselde de coach, met materiaal voor een paar tientjes, zelf zo’n bord in elkaar. Tijdens de trainingen hing het aan een hengel boven het zwembad. Natuurlijk heeft Ferry Weertman eerst de perfecte race gezwommen. Maar volgens hem kan de opgebouwde ervaring met het zelfgemaakte bord, in de eindsprint met vijf andere zwemmers, wel eens beslissend voor het goud zijn geweest. Risicosturing kan eenvoudig blijven en hoeft niet duur ze zijn.  

Presteren in de hedendaagse topsport betekent het optimaal leren combineren van vaardigheden en techniek, met naast fysieke vooral ook mentale fitheid. Dit is vergelijkbaar met veel uitdagingen waar managers en professionals in allerlei soorten organisaties dagelijks voor staan. Het belangrijkste verschil is dat de sporter slechts één doel heeft: de snelste zijn of de meeste punten halen. Terwijl veel organisaties juist een balanceer-act moeten uitvoeren tussen verschillende doelen, zoals financiën, klanttevredenheid en (patiënt)veiligheid. Toch laten de voorbeelden van al deze fantastische Nederlandse sporters zien, hoe je met een combinatie van creativiteit en doorzettingsvermogen veel risico’s voor kan blijven. Zo zijn de Spelen niet alleen om van te genieten, maar ook om van veel op te steken.   

Dr. Martin van Staveren adviseert organisaties over anders omgaan met risico’s. Zijn missie is om daarmee effectiviteit en welzijn te vergroten, binnen én buiten organisaties. Martin is ook kerndocent aan de executive masteropleidingen Risicomanagement en Public Management, Universiteit Twente. Begin 2015 verscheen zijn boek Risicogestuurd werken in de praktijk bij uitgever Vakmedianet.

In 6 stappen naar resultaat – ondanks onzekerheid column
15 juli 2016 | Martin van Staveren

Met deze blog daag ik je uit om een kort experiment te doen. Het bestaat uit 6 eenvoudige stappen. Trek er zo’n 10 minuten voor uit. Houd pen en papier of een smart phone bij de hand, om een paar zinnen te noteren. Aan het eind vertel ik je wat je hebt gedaan.

Stap 1: Welk resultaat wil je?

Bedenk iets concreets dat je wilt bereiken. Dat kan een resultaat zijn, of een doel. Het kan iets kleins zijn, of iets groots. Een resultaat op je werk, of iets in je privésfeer. Je kunt het vandaag nog willen realiseren, of over 1 week, 1 maand, 1 jaar, 10 jaar. Ik geef bewust geen voorbeeld. Bedenk zelf een concreet resultaat en schrijf het op, in één zin.

Stap 2: Welke onzekerheden verwacht je?

Op weg naar je gewenste resultaat van stap 1, welke onzekere gebeurtenis of situatie verwacht je tegen te komen die je kan belemmeren je doel te bereiken? Denk er kort over na en beschrijf de belangrijkste gebeurtenis of situatie in één zin. Let op, het moet een gebeurtenis of situatie zijn die wel kán optreden, maar nog niet ís opgetreden. Daardoor is het onzeker.

Stap 3: Welke oorzaken zie je?

Benoem maximaal 3 oorzaken van de onzekere gebeurtenis of situatie uit stap 2. Het kunnen allerlei soorten oorzaken zijn zoals falende techniek, menselijke fouten, of weersomstandigheden. Zolang het maar relevante oorzaken zijn voor je onzekere gebeurtenis of situatie. Schrijf ze op in een paar woorden.

Stap 4: Welke kans schat je?

Gegeven de oorzaken uit stap 3, wat is je eigen inschatting van de waarschijnlijkheid of kans, dat de onzekere gebeurtenis of situatie daadwerkelijk optreedt? Noem deze kans klein, behoorlijk of groot en noteer dat.

Stap 5: Welke gevolgen zie je?

Stel dat de ongewenste gebeurtenis of situatie op weg naar je resultaat optreedt, wat zijn dan de gevolgen voor het concrete resultaat dat je wilt bereiken? Verwacht je effecten op veiligheid, kwaliteit, tijd, geld en / of reputatie? Het is voor dit experiment voldoende om het optreden van deze effecten te benoemen met ja of nee. Een maximaal effect geeft dus 5 maal ja. Schrijf het op.

Stap 6: Wat ga je doen?

In deze laatste stap komen alle voorgaande stappen samen. Je wilt een concreet resultaat bereiken en hebt nu helder welke onzekere gebeurtenis of situatie je daarin kan belemmeren. Op basis van de oorzaken heb je een inschatting gemaakt van de kans van optreden. Ook heb je een beeld van de gevolgen, als de onzekerheid zich daadwerkelijk voordoet. Wat nu volgt is cruciaal: het nemen van een besluit om al dan niet wat aan die onzekerheid te doen. Bedenk daarom maximaal 3 maatregelen om de kans op de onzekere gebeurtenis of situatie, al dan niet samen met de gevolgen, te verkleinen. Of misschien wel helemaal weg te nemen. Schrijf je concrete maatregelen in korte zinnen op én voer ze op een passend moment uit. Of, schrijf op dat je ervoor kiest om de onzekerheid gewoon te accepteren en daarom bewust niets doet.

Wat heb je nu eigenlijk gedaan?

Je hebt een risicoanalyse uitgevoerd! Eén die er toe doet. Immers, je wilt een concreet resultaat bereiken en hebt nu in kaart welke relevante onzekerheid – een risico - dat kan belemmeren. Wie wil dat niet? Die onzekere gebeurtenis of situatie heb je gestructureerd met oorzaken, de kans van optreden en de gevolgen bij optreden. Dit bepaalt of je het de moeite waard vindt er iets aan te doen, en zo ja, wat. Door dit alles in een paar zinnen te noteren heb je relevante onzekerheid expliciet gemaakt. Als je na verloop van tijd een paar minuten uittrekt, om na te gaan wat je al dan niet getroffen maatregelen voor invloed op je resultaat hebben gehad, dan heb je daadwerkelijk risicomanagement uitgevoerd. Zo simpel kunnen de stappen naar resultaat zijn, ondanks onzekerheid.

Dr. Martin van Staveren adviseert organisaties over omgaan met risico’s en onzekerheden. Zijn missie is om daarmee effectiviteit en welzijn binnen en buiten organisaties te vergroten. Martin is ook kerndocent aan de postacademische masteropleidingen Risicomanagement en Public Management, Universiteit Twente. Begin 2015 verscheen zijn boek Risicogestuurd werken in de praktijk bij uitgever Vakmedianet.

Is toeval toevallig? column
29 juni 2016 | Martin van Staveren

Onlangs stond er in NRC een duo-interview met een natuurkundige en een bijbelexpert. Het gesprek ging over toeval als kans. Iets wat me, niet toevallig, onmiddellijk triggerde.

Immers, kans of waarschijnlijkheid vormt, samen met gevolg, de twee hoofdingrediënten van elk risico. Welke rol speelt toeval eigenlijk bij het optreden van risico’s? En als dat een hoofdrol is, speelt risicomanagement dan geen bijrol?

Eerst eens iets over de betekenis van het woord toeval. In letterlijke zin is het iets dat naar je toevalt. Dit openbaart al drie kenmerken. Het overkomt je. Er is vooraf niets aan te doen. Het gebeurt plotseling, ineens doemt het op. En het is ongepland, je hebt er geen rekening mee gehouden. Want, los van de vrije val bij een parachutesprong, vallen is niet de bedoeling in ons dagelijks leven. De rode draad is dus het gebrek aan controle over toeval.

Interessant, ook vanuit het oogpunt van risicomanagement. Dat is immers bedoeld voor de beheersing van risico’s: de onzekere gebeurtenissen die er toe doen, omdat ze bijvoorbeeld organisatiedoelen, teamprestaties, of je eigen levensgeluk beïnvloeden. Standaard bij risicobeheersing is het inschatten van de kans of waarschijnlijkheid van optreden van zo’n gebeurtenis. De inherente aanname is dat we daar iets zinnigs over kunnen zeggen. Voor sommige risico’s is dat zo, geholpen door ervaringskennis en statistiek. Denk aan overstromingsrisico’s, of de kans op een vliegtuigcrash op weg naar je vakantiebestemming. Big data analyses gaan hier de komende jaren een enorme bijdrage aan leveren.

Maar hoe zit het in organisaties, met complexe werkprocessen, afhankelijkheden van vele stakeholders, en managers en medewerkers die verre van gerobotiseerd zijn? In hoeverre speelt toeval bijvoorbeeld een rol bij het optreden van een digitaal data-lek, de moderne nachtmerrie van elke organisatie? Waarbij de privacy gegevens van duizenden klanten of patiënten vrij door de cloud zweven? Met reputatieschade en forse boetes als gevolg? Is het optreden van zo’n voorzienbaar risico vooraf volledig te analyseren en daarmee te beheersen? Of spelen er zo veel factoren, die elkaar ook nog eens wederzijds beïnvloeden, dat we daar met droge ogen het label ‘toeval’ op kunnen plakken? Gewoon domme pech.

In dit kader introduceer ik een nieuw begrip: toevaltolerantie. Op dit woord geeft Google drie hits en één advertentie, alle vier niet relevant in dit verband. De zoekmachine weet er geen raad mee, een veeg teken. Toevaltolerantie gaat namelijk nog een stap verder dan risicotolerantie. Dit laatste geeft aan of een risico acceptabel is en bepaalt zo om er al dan niet iets aan te doen. Bij toevaltolerantie gaat het om de acceptatie van het aandeel toeval in de kans van optreden. Is dit 5%, 50% of 90% én kunnen we daarmee omgaan? Met andere woorden, welk deel van de risico-kans is met kennis, ervaring, big data en statistiek te bepalen en te beperken? En wat blijft het restant toeval? Inderdaad, dit zijn wel héle lastige vragen. Ze bepalen echter volledig of we een risico realistisch inschatten. De illusie van controle ligt hier overigens klaar om z’n kans te grijpen.

Ik sluit af met twee voorspellingen: toevaltolerantie is in de meeste organisaties uitermate laag en het wordt daardoor geen populair begrip. Een hoge toevaltolerantie uiten, dat is immers toegeven geen volledige controle te hebben. Iets waar managers, raden van toezicht en aandeelhouders nogal zenuwachtig van worden. Toch, iedereen die serieus een risico wil aanpakken daag ik uit. Maak een best guess van het aandeel toeval in het risico. Neem dat expliciet mee in de keuze wat te doen. Dit kan tot een simpele, ontnuchterende en geldbesparende conclusie leiden: kans-reductie is kansloos. Wat rest? Dit onder ogen zien en proberen de gevolgen te beperken. Of het toeval nou toevallig is, of niet.

Dr. Martin van Staveren adviseert organisaties over omgaan met risico’s en onzekerheden. Zijn missie is om daarmee effectiviteit en welzijn binnen en buiten organisaties te vergroten. Martin is ook kerndocent aan de postacademische masteropleidingen Risicomanagement en Public Management, Universiteit Twente. Begin 2015 verscheen zijn boek Risicogestuurd werken in de praktijk bij uitgever Vakmedianet.

Singularity & onzekerheid column
3 juni 2016 | Martin van Staveren

Onlangs schreef ik een recensie over het fascinerende boek Management in Singularity. Het tijdperk van singularity breekt aan op het moment dat de mens niet meer nodig is om computers en robots te programmeren. Die zijn dan zelflerend.

Sinds de geboorte van de eerste robot-baby in Amsterdam, een wereldprimeur op 26 mei 2016, lijkt dit nog dichterbij te komen. Volgens sommige experts breekt het tijdperk van singularity rond 2035 aan. Inderdaad, dat is al binnen 20 jaar. Resultaat: geen mens kan vanaf dan meer volgen hoe onze computersystemen precies werken.

Een filosofische vraag die bij me opkomt: brengt singularity vooral zekerheid of juist onzekerheid? Zekerheid, in de zin dat de systemen en robots goed voor ons gaan zorgen, en er bijvoorbeeld altijd twee gekoelde biertjes in de ijskast staan? Of juist onzekerheid, omdat we als mens vanaf dat moment achter de feiten aanlopen. En volledig afhankelijk zijn van de grillen van de ooit door ons ontwikkelde technologie? Dan is er (gelukkig) ook nog een derde optie: wetenschappers die zeggen dat het zo’n vaart niet loopt. Door allerlei neuropsychologische ontwikkelingen kan de mens namelijk nog veel intelligenter worden en zo de technologie altijd een paar stappen voorblijven.

Nu een praktische vraag, wat betekent dit alles voor het omgaan met onzekerheden in organisaties, anno nu? Want los van de vraag of en wanneer singularity aanbreekt, er zijn genoeg aanwijzingen dat wetenschappelijke en technologische ontwikkelingen steeds sneller gaan. Dit maakt onze wereld VOCA: volatiel, onzeker, complex en ambigue. Hoe ga je als hedendaagse manager of professional om met deze realiteit? Met andere woorden, wat is effectief (risico)management in het tijdperk van exponentieel snelle ontwikkelingen?

Het genoemde boek ontleedt als voorbeeld Deming’s Plan-Do-Check-Act cyclus. Die staat immers symbool voor managen in een stabiele en maakbare tijd. Opvallend is dat de PDCA-stappen niet zozeer achterhaald zijn. Ze moeten alleen wel frequenter én anders worden uitgevoerd. Ook risicomanagement, het gestructureerd en expliciet omgaan met onzekerheden op weg naar je doelen, heeft in het huidige exponentiële tijdperk een nieuwe invulling nodig. Ook hiervoor geldt dat de fundamentele risicostappen nog steeds van toepassing zijn, maar wél anders en frequenter moeten worden toegepast.

Dit anders toepassen betekent dat risico-stappen als het scherp stellen van waarden en doelen, het identificeren en classificeren van de bijbehorende risico’s, het al dan niet treffen van maatregelen en de monitoring ervan volledig wordt geïntegreerd in de bestaande bedrijfs- en managementprocessen. Denk hierbij bijvoorbeeld aan strategisch management, of aan kwaliteitsmanagement. Risicomanagement als stand alone, met de risicomanager als de goedbedoelende onheilsprofeet, is dus volledig passé.

Scenarioanalyses, big data mining en early warning systemen vormen de nieuwe risico-tools, die helpen bij de geïntegreerde aanpak. En het expliciet bespreken van risico-percepties en –toleranties, binnen én buiten de organisatie, is een kernvoorwaarde om überhaupt effectief met onzekerheden om te kunnen gaan. Inderdaad, dit vereist een specifieke organisatiecultuur van openheid en onderling vertrouwen.

Samenvattend, of en wanneer het tijdperk van singularity aanbreekt, dat is en blijft onzeker. Wel zeker is dat de wetenschappelijke en technologische ontwikkelingen zo snel gaan, dat conventioneel command & control management echt niet meer werkt. Dit geldt ook voor risicomanagement. Diezelfde ontwikkelingen bieden wel geweldige mogelijkheden, om het effectief omgaan met onzekerheden een boost te geven. Wie grijpt deze kansen?

Dr. Martin van Staveren adviseert organisaties over omgaan met risico’s en onzekerheden. Zijn missie is om daarmee effectiviteit en welzijn binnen en buiten organisaties te vergroten. Martin is ook kerndocent aan de postacademische masteropleidingen Risicomanagement en Public Management, Universiteit Twente. Begin 2015 verscheen zijn boek Risicogestuurd werken in de praktijk bij uitgever Vakmedianet.

Risicogestuurd Werken: 5 tips voor morgen column
18 mei 2016 | Martin van Staveren

Twee vragen komen steeds weer terug, als ik het heb over risicogestuurd werken. Waarom zou ik het doen en hoe doe ik dat dan? In deze blog geef ik antwoord.

De waaromvraag is het eenvoudigst te beantwoorden: gewoon om je doelen te kunnen realiseren, ondanks onzekerheid. Want ga maar na, je hebt vast ook enkele taken of werkdoelen afgesproken met collega’s, medewerkers of leidinggevenden. Bijvoorbeeld over het versneld afronden van een project, of het verhogen van klant- of patiënttevredenheid. En ik kan met niet voorstellen dat je op weg naar die doelen niets minimaal iéts van onzekerheid tegenkomt.

Bijvoorbeeld afhankelijkheden van derden, bij de versnelde planning van het project. Of de door recente media-aandacht veranderde percepties van klanten over je product, of van patiënten over je zorg. Risicogestuurd werken helpt om dergelijke onzekerheden, mét de te verwachten effecten op je doelen, als risico in het vizier te krijgen. En om vervolgens scherp te kiezen er al dan niet wat aan te doen.

Dan de tweede vraag, de hoe-vraag: hoe ga ik risicogestuurd werken in mijn dagelijkse activiteiten? Terwijl ik het al flink druk heb? En eigenlijk geen tijd heb om er nóg iets extra’s bij te nemen?

Nu volgen vijf tips om risicogestuurd werken vanaf morgen al in je eigen werkpraktijk te brengen. Dit zonder dat het veel extra tijd kost en mét de kans om een relevant risico tijdig de kop in te drukken.

Tip 1: Werkdrukbewustzijn

Werkdruk, tijdgebrek en de stress die dat oplevert verhogen niet alleen de kans op fouten. Ze zijn ook ‘stille killers’ op het gebied van risico’s. In (te) drukke omstandigheden sta je bijvoorbeeld niet open voor signalen die wijzen op een afwijking. Of voor medewerkers met een nog wat vaag maar wel relevant verhaal. Kom volgende week maar terug, heb ik nu even geen tijd voor. Wees je dus bewust van je werkdruk en het effect die dat op je risicoperceptie heeft.

Tip 2: Wat is je grootste werknachtmerrie, vertaald in een risico?

Iedereen heeft in elk type werk wel een of enkele werknachtmerries: als dát gebeurt, dan zijn we failliet, kan ik mijn zorgvuldig opgebouwde reputatie wel vergeten, en dergelijke. Dergelijke spookbeelden zijn risico’s als ze realistisch en onzeker zijn – ze kunnen daadwerkelijk optreden en dat is nog niet gebeurd - én als ze je werkdoel danig kunnen verstoren.

Tip 3 Wat kun je daar zelf aan doen, wat of wie heb je nodig?

Aansluitend op Tip 2, wat kun je zelf aan dat nachtmerrie-risico doen? Kun je de waarschijnlijkheid van het optreden beïnvloeden, of de oorzaak zelfs helemaal wegnemen? Kun je de gevolgen van zo’n risico beperken? Wat of wie heb je daarbij nodig? En niet te vergeten, wegen deze inspanningen op tegen de te verwachten beperking van dat risico? Ofwel, ga je er echt rustiger van slapen?

Tip 4: Rondje risico’s in het overleg

Iedereen die werkt overlegt daarover, in de een of andere vorm. Dit kan een werkoverleg zijn, of een (management)teamoverleg, een voortgangsbespreking of een acquisitiegesprek bij een interessante potentiële opdrachtgever. Welke onzekerheden met relevante effecten op de besproken taken, eisen, doelen of offerte zijn er? Hebben we daarvan een soortgelijke beeld? Willen we daar wat aan doen, en zo ja wat? Een dergelijk ‘rondje risico’s’ geeft risicobewustzijn en leidt waar nodig tot actie. Met andere woorden: iets aan één of enkele risico’s gaan doen helpt gewoon om de kans op het realiseren van de afgesproken taken, eisen, doelen of offerte te vergoten.

Tip 5: Bespreek en leer van de (bijna) missers

Waar mensen werken worden fouten gemaakt: shit happens. Risicogestuurd werken betekent deze realiteit accepteren. En ook om het optreden van fouten in de kiem te smoren. Daarbij helpt het om bijna of volledige missers open, met alle betrokkenen, te bespreken. Niet om elkaar te beschuldigen. Wel om te achterhalen welke signalen zijn gemist, of het om risico’s ging die al dan niet waren te voorzien, en hoe hier in de toekomst effectiever mee om te gaan.

Deze 5 tips geef ik vaak aan het eind van presentaties over Risicogestuurd werken in de praktijk. Om te laten zien dat het allemaal niet zo ingewikkeld is. En weinig extra tijd en geld hoeft te kosten. En ook dat het bewuste risicosturing het verschil maakt in het realiseren van je doelen, ondanks de vaak onvermijdelijke onzekerheden en bijbehorende risico’s. 

Dr. ir. Martin van Staveren MBA is gepromoveerd op het implementeren van risicomanagement in organisaties. Vanuit zijn adviesbureau VSRM adviseert hij publieke, private en projectorganisaties over effectiever omgaan met onzekerheid. In 2015 verscheen Van Staverens eerste managementboek over de omgang met risico's: Risicogestuurd werken in de praktijk.

Risicogestuurd Werken - Wat is hier nieuw aan? column
4 april 2016 | Martin van Staveren

‘Wat is er nieuw aan dat genomineerde boek van je?' Die vraag werd me pas gesteld, bij een kennissessie waarin ik over Risicogestuurd werken in de praktijk vertelde. Er zijn immers al de nodige boeken over risicomanagement.

Dat klopt. Zo bevat de inspiratielijst in Risicogestuurd Werken maar liefst 17 andere boeken, aanvullend op de ruim 3 pagina's bronnen. En toch verschilt het op 6 punten drastisch van die andere boeken.

1. Managementboek
Met Risicogestuurd Werken heb ik een managementboek over anders en vernieuwend omgaan met risico's geschreven, in plaats van een risicomanagementboek. Dit is een subtiel maar belangrijk verschil. In boeken over risicomanagement staan de stappen en tools centraal. In dit managementboek gaat het vooral over het mogelijk maken van omgaan met risico's. De doelgroep is dan ook veel breder dan risicomanagers en strekt zich uit tot alle soorten leidinggevenden, in alle mogelijke organisaties en sectoren. Ook interne en externe organisatieadviseurs en -veranderaars zijn doelgroep. Effectief omgaan met risico's vraagt immers om een passende organisatiecultuur en -structuur. Daarom ben ik enorm blij om op de shortlist van de Ooa, dé beroepsvereniging van organisatieadviseurs, te staan.

2. Vernieuwingen aan de horizon
Hoewel Taylors scientific management uit begin 1900 stamt, is het in veel organisaties nog springlevend. Opmerkelijk, omdat er de afgelopen eeuw nogal wat is veranderd. Dus niet meer dan logisch dat de resulterende bureaucratie en overdaad aan procedures steeds meer weerstand oproepen. Gelukkig doemen er al een aantal jaar vernieuwingen aan de managementhorizon op. Mij inspireren bijvoorbeeld managementdenkers en -doeners als Thijs Homan, Matthieu Weggeman, Hans Vermaak en Wouter Hart. Zij pleiten voor een terugkeer naar de essentie, de menselijke maat, waardering voor vakmanschap, minder controle en meer vertrouwen. Ook veel hedendaags risicomanagement is een kloon van Taylor. Het schiet het doel voorbij en wordt een doel op zich. Risicogestuurd werken sluit nadrukkelijk aan op managementvernieuwingen.

3. Van regelreflex naar realiteit
Een fenomeen dat steeds weer opduikt is de risicoregelreflex. Een risico is opgetreden, verontwaardiging alom, dat mag niet nog eens gebeuren en een nieuwe regel, procedure, wet moet dat voorkomen. Dit blijkt vaak een dure illusie. Een alternatieve aanpak is om de realiteit te durven zien. En te accepteren dat niet elk risico met een regel is te vermijden. Omgaan met risico's, met een bewuste balans tussen accepteren en maatregelen nemen, is veel praktischer dan de illusie van ultieme risicobeheersing. Risicogestuurd werken gaat over zo omgaan met risico's dat je je doelen zo goed mogelijk kunt realiseren. Ondanks de onvermijdelijke onzekerheden, die daarbij op je pad komen.

4. Niet nieuw, wel vernieuwend
Hoewel vernieuwend, nieuw is risicogestuurd werken niet. Het is namelijk géén zoveelste nieuwe methode voor risicomanagement. Risicogestuurd werken biedt juist een weg terug naar de essentie benadering voor omgaan met risico's. Op een gestructureerde en expliciete manier. Hiervoor worden zes basisstappen gebruikt, die al aanwezig zijn in vrijwel elke methode voor risicomanagement. Het vernieuwende zit ‘m paradoxaal in de terugweg naar de essentie: wat zijn je doelen, welke onzekerheden - risico's - kunnen die doelen beïnvloeden, kan of wil je daar wat aan doen? Dáár gaat het om en dat werkt gek genoeg bevrijdend en vernieuwend.

5. Van methoden naar mens
In risicomanagementboeken gaat het vaak en vooral over het instrument. Risicomanagement kan een nuttig instrument zijn, als je het weet te hanteren. Zoals dat ook geldt voor een schroevendraaier, hamer of motorzaag. Bij risicogestuurd werken staat de mens in de organisatie centraal. Jij als vakinhoudelijke professional of manager, die met een team ambitieuze doelen wil bereiken en daarbij hoe dan ook met onzekerheden wordt geconfronteerd. Wat is je risicoperceptie en -houding te opzichte en die van je teamleden? Ken je die? Voel je weerstand om er open over te praten? Wordt er wel geluisterd? Wat zegt dit over de heersende organisatiecultuur en wat is jouw rol daarbij? Met andere woorden, hoe wordt effectief omgaan met risico's in je werkomgeving gestimuleerd, in plaats van gefrustreerd? Dit zijn de vragen waarvan de antwoorden risicomanagement vleugels geven.

6. Accenten maken het verschil
Hét verschil tussen zeg maar Taylor-achtig risicomanagement en risicogestuurd werken wordt gemaakt door een serie van 20 accentverschillen. Voorbeelden zijn methoden zijn leidend (risicomanagement) en doelen zijn leidend (risicogestuurd werken). Of afdwingen - ‘Risicomanagement volgens dit protocol is hier voor iedereen verplicht' - en uitnodigen - ‘Ga eens met je team risicogestuurd aan de slag, beoordeel na 3 maanden wat dat oplevert'. De balans tussen de accentverschillen ligt voor elke organisatie of afdeling, net weer anders. Dit geeft de benodigde ruimte om omgaan met risico's in te passen in de werkprocessen die er al zijn.

Tot slot, de voorgaande 6 punten gaan nadrukkelijk over de verschillen tussen het boek Risicogestuurd Werken en die over risicomanagement. Risicogestuurd Werken is dus een echt managementboek. Een praktijkboek voor anders omgaan met risico's, aanvullend op risicomanagementboeken. Het werkt als eye opener voor wie nooit een boek over risicomanagement heeft gelezen: zo kan het dus ook. Juist dát is er nieuw aan. Het werd overigens een geweldig leuke kennissessie, met volop herkenning van de enthousiaste deelnemers.

Risicogestuurd werken in de praktijk staat op de longlist voor Managementboek van het Jaar 2016 en op de shortlist van Ooa Boek van het Jaar.

Dr. ir. Martin van Staveren MBA is gepromoveerd op het implementeren van risicomanagement in organisaties. Vanuit zijn adviesbureau VSRM adviseert hij publieke, private en projectorganisaties over effectiever omgaan met onzekerheid. In 2015 verscheen Van Staverens eerste managementboek over de omgang met risico's: Risicogestuurd werken in de praktijk.

Meer vertrouwen en minder tolerantie column
24 februari 2016 | Martin van Staveren

Druk door regeldruk. Wie ervaart dat niet? Recent onderzoek van een wereldwijd opererende recruiter onder Nederlandse compliance officers schetst een ontluisterend beeld.

‘Van de ondervraagden constateert 96% een toegenomen regeldruk binnen de eigen organisatie en vreest maar liefst 78% dat deze nieuwe regels hun doel voorbij schieten en een efficiënte bedrijfsvoering in de weg staan’. Vervolgens wordt aangegeven dat Nederland op het gebied van compliance nog een achterstand heeft in te halen op Angelsaksische landen als de Verenigde Staten en Groot-Brittannië. Compliance wordt dus ook in Nederland overal steeds belangrijker. Tot zover de huidige realiteit. Welkom in Orwells 1984?

Zou deze ontwikkeling anno 2016 niet heel erg achterhaald moeten zijn? Is het niet een collectief brevet van onvermogen, dat we met elkaar zoveel - vaak ingewikkelde of zelfs tegenstrijdige - regels verzinnen, dat we steeds meer regelcontroleurs nodig hebben? Want compliance officer klinkt wel mooi, maar onaardig gezegd zijn het af-vinkers die continue checken of de collega’s niet buiten de lijntjes kleuren. Daarbij werken ook compliance officers natuurlijk niet voor niets. Dus met elkaar betalen we fors voor al die controles. Geld, dat niet aan zaken als kwaliteit of veiligheid kan worden besteed. Of in de portemonnee van de consument blijft, vanwege een goedkoper product. Waardoor die consument iets zinvollers met dat geld kan doen, dan indirect betalen voor controles die overbodig zouden moeten zijn.

Het is natuurlijk kristalhelder dat de uitdijende wet- en regelgeving in bijvoorbeeld de financiële sector een Pavlov reactie is op een opeenvolging van crises en incidenten. Al die extra regels zijn op z’n best een goed bedoeld antwoord op geschonden vertrouwen én overspannen verwachtingen. Geschonden vertrouwen van argeloze consumenten van allerlei financiële toverproducten, die in gewoon Nederlands belazerd zijn. Overspannen verwachten, in die zin dat diezelfde consumenten meenden dat ze zonder aanzienlijk risico een onrealistisch hoge rente op hun spaargeld konden krijgen. Een gratis lunch bestaat niet.

Hoe nu verder? In elk geval niet met nog méér van het louter controlerende risicomanagement. Dat van de lijsten en de vinkjes, de procedures en de protocollen. Een fors aantal boeken geeft de laatste jaren tegengas tegen deze nauwelijks te temmen beheersingsmachine. Voorbeelden zijn Reinventing Organizations, Ontmanagen voor Managers en natuurlijk het onvolprezen Verdraaide Organisaties: Terug naar de Bedoeling. In mijn eigen boek Risicogestuurd Werken in de Praktijk geef ik maar liefst 20 accentverschillen tussen het gebruikelijke risicomanagement en wat ik noem risicogestuurd werken. Dit laatste is een terug-naar-de-essentie vorm van risicomanagement, met oog voor de realiteit en de begrensde maakbaarheid daarvan.

Eén van die accentverschillen is de ontwikkeling van 'low trust – high tolerance' naar 'high trust- low tolerance', die overigens ook in Verdraaide Organisaties staat. Het eerste is de huidige situatie van weinig vertrouwen. Daardoor ontstaan meer regels met de controle op de naleving ervan. Terwijl de soep vaak niet zo heet wordt gegeten als aan die naleving iets blijkt te schorten. De tweede situatie heeft vertrouwen als uitgangpunt, waardoor veel minder controle nodig is. Die controle die er nog wel is richt zich op de belangrijkste risico’s en is bijzonder weinig tolerant, als blijkt dat vertrouwen bewust wordt geschonden.

Begrijp me goed, ik ben heel erg voor allerlei soorten tolerantie. Op veel gebieden in de huidige maatschappij hebben we juist nu meer tolerantie nodig. Alleen als het gaat over het niet nakomen van heldere en wederzijds overeengekomen afspraken, dan kan die tolerantie wat mij betreft fors minder. Al is het maar om te voorkomen dat we teruggaan in de tijd, en Orwells 1984 alsnog realiteit wordt.

Dr. ir. Martin van Staveren MBA is gepromoveerd op het implementeren van risicomanagement in organisaties. Vanuit zijn adviesbureau VSRM adviseert hij publieke, private en projectorganisaties over effectiever omgaan met onzekerheid. In 2015 verscheen Van Staverens eerste managementboek over de omgang met risico's: Risicogestuurd werken in de praktijk.

VUCA en de drie reflectievragen column
20 januari 2016 | Martin van Staveren

We leven in een VUCA-wereld. Het acroniem VUCA is afkomstig uit de militaire sector en staat voor volatility, uncertainty, complexity and ambiguity. Ofwel, een cocktail van beweeglijkheid, onzekerheid, complexiteit en meerduidigheid van situaties of ontwikkelingen. Denk aan Keulen, denk aan talloze andere maatschappelijke en technologische ontwikkelingen.

Ook organisaties moeten opereren in een VUCA-wereld. Denk aan factoren als de onzekere geo-politieke situatie, de snelle opkomst van the internet of things, aangescherpte wet- en regelgeving, of de krachtige, onvoorspelbare en bij vlagen angstige publieke opinie met social media als katalysator.

Hoe daar effectief mee omgaan? Traditioneel risicomanagement schiet hierbij tekort. Risicogestuurd werken is een terug naar de essentie vorm van omgaan met onzekerheid en bijbehorende risico’s. Het heeft als bedoeling om ondanks al die beweeglijkheid, onzekerheid, complexiteit en meerduidigheid tóch je organisatiedoelen te kunnen realiseren. Door de realiteit van onzekerheid diep in de ogen te kijken, door te accepteren dat de wereld slechts gedeeltelijk maakbaar is, en vooral door scherpe keuzes te durven maken, ondanks onzekerheid. Vragen stellen helpt daarbij. Daarom geef ik je drie reflectievragen, om mee te beginnen:

1. Wat is nu de belangrijkste verandering voor de organisatie waarin / waarvoor je werkt?

2. Wat is onzeker in de oorzaken en / of gevolgen van die verandering?

3. Hoe wordt momenteel omgegaan met die onzekerheden?

Niet weten is het nieuwe weten. Het krijgen van antwoorden begint met het stellen van vragen.

Dr. ir. Martin van Staveren MBA is gepromoveerd op het implementeren van risicomanagement in organisaties. Vanuit zijn adviesbureau VSRM adviseert hij publieke, private en projectorganisaties over effectiever omgaan met onzekerheid. In 2015 verscheen Van Staverens eerste managementboek over de omgang met risico's: Risicogestuurd werken in de praktijk.

CRM: niet alleen voor ‘bloed en spoed teams’ column
13 november 2015 | Martin van Staveren

CRM staat voor Crew Resource Management. Het is een gestructureerde en expliciete aanpak om de samenwerking in teams te bevorderen. Het stamt oorspronkelijk uit de luchtvaart. CRM wordt inmiddels ook toegepast binnen kerncentrales, op boorplatforms en door politie-, brandweer- en operatieteams.

In het Radboud UMC bijvoorbeeld, waar na invoering in 2010 op de intensive care 20% minder grote complicaties optreden. Toch is CRM niet alleen nuttig voor ‘bloed en spoed teams’. Met de aandacht voor de factor mens is toepassing ervan binnen risicogestuurd werken veelbelovend.

De rijke bron voor deze blogpost vormt het boek Crew Resource Management: Veilig en effectief samenwerken in teams van Dr. Tom Bijlsma. Hij is ervaringsdeskundige als het gaat over werken in en met teams. Bijlsma was tien jaar officier bij de Koninklijke Landmacht en daarna management consultant. Hij promoveerde in 2009 op Teamleren aan de Universiteit van Tilburg en doceert aan de Nederlandse Defensieacademie.

Centraal in zijn boek staan zeven CRM-competenties voor teams. Deze zijn ontleend aan benaderingen van onder meer de US Naval Aviation Schools Command in Florida en de zogenoemde Non-Technical Skills uit de civiele luchtvaart. Wat zijn de zeven CRM-competenties bij het omgaan met risico’s en welke vragen zijn daarbij relevant?

Besluitvorming

Effectief omgaan met risico’s betekent expliciet besluiten of en welke maatregelen worden genomen om risico’s te beperken. Of om ze soms helemaal uit te bannen. Hoe komt het team tot zo’n besluit, vaak op basis van onvolledige risico-informatie? Vooral op rationele gronden, of intuïtief? Is er een gestructureerd besluitvormingsproces, met ruimte voor de inherente risico-perceptieverschillen tussen de teamleden?

Assertiviteit

Assertiviteit – speak up – houdt het midden tussen passiviteit en agressiviteit. Zijn alle teamleden voldoende assertief? Dat wil zeggen, zijn ze in staat om afwijkende standpunten over de inschatting van kansen en gevolgen van risico’s in te nemen? Wordt dat gewaardeerd door de overige teamleden, en ook door de teamleider? Is er ruimte voor de bijbehorende gevoelens en emoties van teamleden over risico’s?

Missie-analyse

Dit gaat over de teamdoelen en de planmatige analyse hoe die te bereiken. Zijn de teamdoelen eigenlijk wel helder, gedeeld en aanvaard door alle teamleden? Dit is essentieel vanuit de moderne risicodefinitie: risico is het effect van onzekerheid op (team)doelen. Zijn de voorzienbare risico’s voor de teamdoelen in kaart gebracht en is het voor iedereen helder hoe, door wie, en wanneer daarmee wordt omgegaan?

Communicatie

Worden in de gesprekken over risico’s in het team vier communicatieniveaus benut? Dan wordt niet alleen over de (technische) inhoud van de risico’s gesproken, maar ook over de vorm van het gesprek en de interactie (of het gebrek ervan) tussen de teamleden. En, niet te vergeten, over de bijbehorende emoties van de teamleden, zoals angst, schuld, schaamte en afkeer. Vooral de emotie ‘angst’ is onlosmakelijk gekoppeld aan de inschatting van en omgang met risico’s.

Leiderschap

Bij CRM draait het vooral om gedeeld leiderschap en niet zozeer om hiërarchisch leiderschap. Deelt de teamleider het leiderschap met andere teamleden, voor risico’s waarvan zij meer kennis en ervaring bezitten? Kent de teamleider de eigen motieven, sterktes, zwaktes en angsten ten aanzien van bepaalde risico’s? Doet de leider aan voorbeeldgedrag, door open over risico’s te communiceren, inclusief de bijbehorende verwachtingen en emoties?

Adaptief vermogen

De volgende quote wordt aan Charles Darwin toegeschreven: ‘It is not the strongest of species that survives, nor the most intelligent, but the one the most adaptable to change.’ Hoe flexibel is het team in het omgaan met risico’s? Kan worden afgeweken van procedures als die niet effectief blijken te zijn? Kunnen dergelijke, niet meer functionele procedures worden aangepast of afgeschaft? Bezitten de teamleden de cognitieve en relationele vaardigheden en de nodige vastberadenheid en mentale veerkracht om met het onzekere en onverwachte van risico’s om te gaan?

Omgevingsbewustzijn

Heeft het team oog en oor voor wat zich afspeelt in de omgeving van het team? Is helder welke omgevingsfactoren wel en niet te beïnvloeden zijn? Wat betekent dit voor de in kaart gebrachte risico’s en de omgang ermee? Ontstaan vanuit de omgeving nieuwe risico’s, of zijn sommige risico’s ineens achterhaald? Zijn de teamleden zich bewust van hun eigen mentale modellen, die de werkelijkheid hoe dan ook vertekenen? Worden deze vertekeningen expliciet gemaakt in de omgang met risico’s?

Werkdruk en vermoeidheid

Veel CRM-benaderingen voegen twee componenten toe: werkdruk en vermoeidheid. Dit zijn niet zozeer competenties, als wel toestanden die de zeven CRM-competenties stevig op de proef kunnen stellen. Niet zelden zijn werkdruk en vooral vermoeidheid de taboes in de organisatie. De over-energieke manager of professional past immers meer bij ons ideaalbeeld. Echter, juist als het gaat om risico’s kunnen werkdruk en vermoeidheid, als bron van menselijk falen, katalysators of zelfs killers zijn.

De CRM-competenties staan niet op zichzelf

Wat kunnen we uit dit alles opmaken? Ten eerste dat de zeven CRM-competenties niet op zichzelf staan. Ze zijn aan elkaar gerelateerd en versterken elkaar. Ten tweede dat deze competenties een enorme invloed kunnen hebben op het al dan niet effectief omgaan met risico’s in teams als managementteams of projectteams. Meer gestructureerd en expliciet samenwerken in dergelijke teams, met behulp van bewezen CRM-benaderingen, is dus zeker niet meer alleen voor de bloed en spoed teams. Elk team, in elke organisatie, kan er zijn voordeel mee doen. Al is het maar om effectiever met de risico’s rond de teamdoelen om te gaan.

Dr. ir. Martin van Staveren MBA is gepromoveerd op het implementeren van risicomanagement in organisaties. Vanuit zijn adviesbureau VSRM adviseert hij publieke, private en projectorganisaties over effectiever omgaan met onzekerheid. In 2015 verscheen Van Staverens eerste managementboek over de omgang met risico's: Risicogestuurd werken in de praktijk.

Martin van Staveren: ‘Spreek formeel af om flexibel te zijn’ interview
22 oktober 2015 | Justin van Lopik

Risicomanagement leeft weer op, zo lijkt het. Niet alleen wordt het ‘risicogestuurd denken’ expliciet genoemd in de ISO 9001:2015 kwaliteitsnorm, ook in andere vakgebieden wordt de nut en noodzaak van gedegen risicomanagement steeds duidelijker.

Wie bij risicomanagement denkt aan lange Excelsheets vol met niet te begrijpen cijfers heeft het mis, aldus Martin van Staveren. Martin van Staveren is schrijver van het boek Risicogestuurd werken in de praktijk, eigenaar van organisatieadviesbureau VSRM en kerndocent risicomanagement in een tweetal masteropleidingen aan de Universiteit Twente. "Effectief omgaan met risico’s vraagt niet om nog meer procedures en toezicht".

Wat is risicomanagement precies? En waarom zouden organisaties ermee aan de slag moeten?

Voor mij is risicomanagement niets meer dan gestructureerd en expliciet omgaan met risico’s. En dan is de vraag natuurlijk: wat zijn risico’s? Mijn definitie is dat een risico het effect is van onzekerheid op doelstellingen. Deze link met doelstellingen is sterk, want het maakt risicomanagement meteen doelgericht. En het maakt het voor mensen makkelijker om met risico’s aan de slag te gaan, omdat iedereen doelen heeft: werkdoelen, organisatiedoelen, maar ook privédoelen. Vrijwel iedereen met een doel heeft te maken met onzekerheden. En het slim omgaan met de onzekerheden die je tegenkomt op weg naar je doel, dat is naar mijn overtuiging de kern van risicomanagement.

Organisaties hebben vrijwel altijd wel een vorm van risicomanagement, al is het maar intuïtief. Een organisatie zonder risicomanagement zie ik als rijden in de auto met je ogen dicht en dus geen oog hebben voor de obstakels die je onderweg tegenkomt. In mijn boek omschrijf ik risicomanagement als gestructureerd en expliciet omgaan met onzekerheid. Met gestructureerd bedoel ik dat je bepaalde, cyclische stappen doorloopt, en met expliciet bedoel ik dat je echt de realiteit durft te zien. En dat je met elkaar in een organisatie durft te benoemen wat er wel eens mis zou kunnen gaan.

Je hebt het boek Risicogestuurd werken in de praktijk geschreven. Waarom heb je dit gedaan?

Ik vond drie vakgebieden altijd al interessant: psychologie, techniek en economie. Ik heb technische aardwetenschappen gestudeerd, waar vooral de techniek centraal stond, maar na mijn MBA vielen al deze drie elementen samen. Daar werd het vak risicomanagement gedoceerd en werd ik getriggerd door de kracht van de combinatie van de vakgebieden. In 2009, midden in de crisis en vlak na mijn promotieonderzoek over risicomanagement, heb ik daarom besloten om een bureau te starten op het gebied van risicomanagement. Onder het mom van ‘practice what you preach ’ heb ik dit bewuste risico genomen!

Na vijf jaar praktijkervaring vanuit m’n adviesbureau heb ik dit boek heb ik geschreven om risicomanagement toegankelijk te maken. Mensen die in eerste instantie denken dat ze niets aan risicomanagement hebben of achterhaalde ideeën over risicomanagement hebben, probeer ik over de streep te trekken om er toch mee aan de slag te gaan.

In je boek zie ik twee soorten risicomanagement: de ‘oude’ manier en de ‘nieuwe’ manier. Kun je hier wat meer over vertellen?

Dat klopt. Risicogestuurd werken noem ik deze ‘nieuwe’ manier van risicomanagement. Dat heeft te maken met het vernieuwde managementdenken dat de laatste tijd opkomt, als reactie op het ‘oude’ managementdenken van Frederick Taylor. Dat denken gaat uit van beheersbaarheid, specialisatie, standaardisatie en voorspelbaarheid. Vijftig jaar geleden is het risicomanagement ontstaan, gebaseerd op het managementdenken van Taylor. Nu zijn we vijftig jaar verder en de wereld is nogal veranderd, maar we zijn nog steeds bezig met deze oude manier van denken.

En daar gaat het naar mijn idee mank. Want juist in een omgeving met veel onzekerheid en veranderlijkheid, heb je veel meer aan flexibiliteit dan alles vast te gieten in protocollen en procedures. En dat wekt naar mijn idee een soort schijnzekerheid op - wat eigenlijk nog gevaarlijker is dan geen risicomanagement doen. Want je wekt de illusie dat je in controle bent, terwijl je dat niet bent.

Kun je verschillen noemen?

Allereerst de bredere definitie van risico. Zo is een risico niet persé iets negatiefs: onzekerheid kan ook positief uitpakken. Een veelgehoorde definitie van een risico is kans maal gevolg. Maar het grote probleem hierbij is dat het risico op een tsunami dus hetzelfde is als het risico op een regenbui. Een tsunami heeft namelijk een kleine kans met groot gevolg en bij een regenbui is het precies andersom. Je krijgt dus hetzelfde risicogetal voor twee risico’s die onvergelijkbaar zijn en om totaal andere oplossingen vragen. Daarbij probeert traditioneel risicomanagement risico’s teveel in cijfers te vangen waarbij de subjectiviteit verdwijnt en een soort schijn-objectiviteit ontstaat.

Ook het omgaan met risico’s verschilt. Traditioneel risicomanagement gaat vooral uit van het verkleinen van kansen op risico’s, terwijl modern risicomanagement ook de mogelijkheden van het verkleinen van de gevolgen meeneemt. En dan blijven er nog altijd dingen, die we gewoonweg niet kunnen weten: de onbekende onbekenden. Wat we wel weten kunnen we voor een deel managen en voor een deel kunnen we die risico’s ook accepteren. En dat wat we niet weten, kunnen we per definitie ook niet managen. Aan de andere kant heb ik wel de overtuiging dat als je goed in staat bent om de bekende risico’s te managen, je ook beter kan omgaan met de onbekende onbekenden. Omdat je flexibel en weerbaar bent en dat je opkomende risico’s eerder kan signaleren en escalatie kan beperken.

En het implementeren van risicogestuurd werken verschilt van risicomanagement. Veel organisaties die starten met risicomanagement, starten met het schrijven van risicomanagementhandboeken. Daar beginnen ze heel optimistisch en positief mee: iedereen mag er wat van vinden en na drie maanden is het handboek er. Maar wat blijkt: er staan toch een aantal dingen in dat handboek die niet zo handig zijn. Maar er staan ook zes handtekeningen op, dus dat gaan we niet veranderen, anders moeten we weer die hele molen door. Dus waarschijnlijk gebeurt er niet wat er in het handboek staat en is het handboek een papieren tijger geworden.

En dat komt, denk ik, omdat risicomanagers vaak meer bezig zijn met ontwerpen dan met ontwikkelen, ook één van de verschillen tussen traditioneel risicomanagement en risicogestuurd werken. Met ontwerpen bedoel ik dat er een risicoaanpak is ontworpen en is beschreven in een handboek, die vervolgens in de praktijk wordt uitgevoerd. Maar als je, zoals velen van ons, in een praktijk zit die ambigu en veranderlijk is en met mensen samenwerkt die een verschillende kijk hebben op risico’s, dan is het beter om risicomanagement samen te ontwikkelen.

Een ander verschil is onteigenen en eigenaarschap. Onteigenen is zeggen: ik ben de risicomanager. Ik breng de risico’s in kaart en ik schrijf de protocollen en jij hebt ze maar uit te voeren. Dan voelt iemand zich onteigend. In plaats van dat je zegt: jij bent de professional, jij weet hoe het werkt, hoe kan ik jou helpen om ondanks de risico’s toch je doelen te realiseren? In mijn boek benoem ik twintig verschillen tussen traditioneel risicomanagement en risicogestuurd werken.

Hoe ziet risicomanagement er in een ideale organisatie uit?

Ten eerste, de ideale organisatie heeft geen risicomanager, hoe gek dat misschien ook klinkt. Een risicomanager of risicoafdeling impliceert dat dáár de risico’s worden ‘gemanaged’, terwijl dat niet zo is. Mogelijk is er wel een risicoprocesmanager of risicofacilitator. In de ideale organisatie is risicomanagement geen aparte silo, maar iets wat volledig is geïntegreerd in alle werkprocessen van de organisatie. Eerder heb ik voorspeld dat al die verschillende disciplines, zoals veiligheidsmanagement, kwaliteitsmanagement, reputatiemanagement en risicomanagement allemaal samengaan in één managementdiscipline. Of beter misschien zelfs: in het werkveld van de professional wordt opgenomen. De nieuwe ISO 9001:2015 bevestigt deze trend.

Dat betekent ook dat professionals, zoals artsen of accountants, inderdaad het effectbesef moeten hebben wat hun handelen betekent op de situatie en het handelen van anderen. En dat betekent ook, vind ik, dat als je verpleger of accountant bent, je ten eerste scherp moet hebben wat je eigen doelen zijn, welke kaders er zijn, maar dat er ook de autonome ruimte moet zijn voor de professional om daar binnen te handelen. We gaan niet met elkaar aan hele zware handboeken en protocollen werken, maar we spreken af dat we flexibel en dat we wendbaar zijn. In organisaties zou daarom, paradoxaal genoeg, een formele afspraak moeten worden gemaakt om flexibel te zijn.

Veel bedrijven en instellingen gaan nu de slag met risicomanagement. Heb je praktische tips voor hen?

Ja. Een hele praktische tip en misschien wel de belangrijkste is: houd het simpel. Houd het zo simpel mogelijk. Het is beter dat iets eerst te simpel is, dan te ingewikkeld. Te simpele dingen kun je later nog aanpassen en verbeteren. De grote valkuil met risicomanagement: er zijn prachtige technieken, modellen en softwaresystemen om het ingewikkeld te maken. Dus maak een hele beknopte en flexibele risicomanagement richtlijn voor de organisatie of maak een ‘tien-richtlijnen-lijstje. Ga daarmee écht aan de slag en ontwikkel daar het risicogestuurd werken verder mee. En ga kijken wat wel werkt en wat niet werkt. Dus ga van ontwerpen naar ontwikkelen.

En dat is gelijk ook punt twee: ga het gesprek aan over de scherpe keuzes. Een kwaliteitseis van x procent leverbetrouwbaarheid: is dat wel haalbaar? Binnen de capaciteit van de organisatie, binnen de competenties die de mensen hebben. En vraagt de klant daar eigenlijk wel om? Ga expliciet de discussies aan over kwaliteitsdoelen en kwaliteitseisen. En laat ook zien hoe die doelen andere doelen als omzet kunnen beïnvloeden. Ga het expliciete gesprek aan, laat de realiteit zien. En maak scherpe keuzes met elkaar.

Dit interview door Harmen Koopman verscheen eerder op www.scienta.nl

Spot de Bokito special
2 oktober 2015 | Martin van Staveren

De mens als risicofactor, en dan vooral de dominante variant, de 'Bokito'. Wie kent er niet zo’n exemplaar in z’n directe werkomgeving?

De energieke man (of vrouw?) die met de beste bedoelingen als een stormram door de organisatie raast. Zeer overtuigd van het eigen gelijk, slecht in staat om tegenspraak te dulden én bereid om veel, en soms héél veel risico te nemen. Het is immers allemaal voor de goede zaak. In de financiële sector spot De Nederlandsche Bank dit menstype sinds enige tijd met behulp van psychologen. Waarom is dit ook zinvol voor andere sectoren, en niet alleen op topmanagementniveau?

Traditioneel richt financieel toezicht op de harde feiten in de financiële boekhouding. Aan de hardheid van die cijfers is overigens vaak wel wat af dingen. Kees Tillema heeft dit overtuigend beschreven in zijn boek Van Cijfers naar Waarden. Een ander punt is dat de boekhouding vooral wat zegt over het verleden. Het is een blik in de achteruitkijkspiegel, op basis waarvan voorspellingen voor de toekomst worden gedaan. En resultaten uit het verleden …, vul zelf maar in. De financiële crisis, ontstaan ondanks al die afdelingen risicomanagement bij de betreffende instellingen, was voor De Nederlandsche Bank (DNB) dan ook aanleiding om het gangbare toezicht kritisch te beschouwen. Gedrag bepaalt uiteindelijk de cijfers, dus waarom naast de cijfers ook niet gedrag gaan bekijken?

Als eerste in Europa is de DNB vijf jaar geleden begonnen om het gedrag van bestuurders te observeren. Dit met behulp van psychologen in de bestuurskamer, tijdens vergaderingen. Zoals bekend uit sociaal onderzoek, heeft alleen al de aanwezigheid van zo’n observator effect op houding en gedrag van de andere aanwezigen. Ondanks deze onvermijdelijke beperking bleek dat in 34 van de 54 gevallen, dus ruim meer dan de helft, fundamentele risico’s aan het licht kwamen. Aldus Wijnand Nuijts, hoofd van de afdeling gedrag en cultuur bij DNB in het NRC-artikel 'Aanpak van "Bokito’s" werkt, zegt DNB' van 25 september 2015.

Een voorbeeld dat Nuijts aanhaalt is een bestuursvoorzitter van een niet nader genoemde bank – DNB noemt nooit namen – die grote risico’s nam en zeer dominant was. Het afremmen van deze persoon door collega’s bleek vrijwel niet mogelijk. Nadat de bank door de doorgeschoten 'risk appetite' veel geld had verloren moest de topman het veld ruimen. Volgens Nuijts staat gedrag aan de basis van problemen en kan je daarom met gedragstoezicht meer vooruit kijken. Dit is niet beperkt tot de financiële sector. Het lijkt er immers op dat ook dieselgate bij Volkswagen het gevolg is van malafide gedrag van individuen, ook weer voor 'de goede zaak'.

Hieruit volgt dat meer oog voor het gedrag van (top)managers ook in andere sectoren dan de financiële nodig is. Het is in feite een vernieuwende vorm van risicomanagement, die in aanvulling op de cijfermatige kant aandacht besteedt aan de factor mens, als potentiële bron van ellende. Ik pleit hier dan ook voor een light versie van gedragstoezicht, waarmee iedereen vanaf vandaag kan beginnen. Spot de Bokito in jouw werkomgeving en heb het lef om zijn of haar gedrag bespreekbaar te maken. Voor de goede zaak. Als dit je dit in je eentje eng vindt, dan kan je het samen met collega’s doen. Dit is een vorm van risicomanagement die geen enkel model vereist, vrijwel niets kost en, zoals de DNB ons leert, veel kan opleveren.

Dr. ir. Martin van Staveren MBA is gepromoveerd op het implementeren van risicomanagement in organisaties. Vanuit zijn adviesbureau VSRM adviseert hij publieke, private en projectorganisaties over effectiever omgaan met onzekerheid. In 2015 verscheen Van Staverens eerste managementboek over de omgang met risico's: Risicogestuurd werken in de praktijk.

TD&D: Pas op voor uw vertrouwen in regels tussen_droom_en_daad
19 augustus 2015 | Martijn Leijten

In deze rubriek analyseren bestuurskundigen van de TU Delft patronen en wetmatigheden waar veel managementboeken soms aan voorbij gaan of voor vanzelfsprekend aannemen. In deze aflevering legt Martijn Leijten uit dat regels volgen uit de praktijk van de experts.

Ontwikkeling van nieuwe technologie is noodzakelijk voor vooruitgang en daarmee onze welvaart. Maar ontwikkeling betekent dynamiek en dat compliceert het leven van een manager. Het verhindert het ontstaan van de routine en standaardisatie die bijdragen aan de bestendiging van zijn werk en verhoogt daarom de onzekerheid.

We verwachten dat ontwikkelingen op een beheerste manier tot stand komen. Als een elektrische auto of een nieuw medicijn op de markt komt, gaan we ervan uit dat het veilig is. Er bestaan dan ook strenge regels voor de introductie van complexe, nieuwe producten. Niettemin komt er onvermijdelijk een moment waarop moet worden overgegaan van een test van zo’n product naar een eerste toepassing. En hoeveel managers hebben, ondanks die regels, bij de introductie van een nieuw product geen excuses moeten aanbieden voor kinderziektes? Doorgaans vinden we dit te billijken en kunnen we ook verwachten dat die kinderziektes na verloop van tijd verdwenen zijn, maar kennelijk zijn de regels lang niet altijd afdoende om de onzekerheid weg te nemen.

Dat is logisch, want hoe kunnen regels worden opgesteld als er nog geen eerdere vergelijkbare toepassing van het product bestaat? Juist bij de meest ingewikkelde productintroducties of -innovaties zijn er vaak geen precedenten. Bovendien is soms de mate van reproductie zeer gering, waardoor leren tijd kost, en dus ook de basis om regels op te stellen lang onvoldragen blijft. Hoe hebben bijvoorbeeld de tientallen landen met kernreactoren hier ruim een halve eeuw geleden veiligheidsregels voor opgesteld? En anno 2011 hebben we hier naar aanleiding van de Fukushima-ramp toch nog weer nieuwe inzichten over verkregen.

Vooral na incidenten met nieuwe, complexe producten wijzen we vaak naar afwijkingen van de regels. Socioloog Brian Wynne stelt echter dat dergelijke gevallen aantonen dat experts die aan dit soort complexe technieken werken, blootgesteld worden aan veel meer ambiguïteit dan in regels te vatten valt. Hij noemt dit unruly technology. De praktijk volgt niet de regels, maar regels volgen uit de praktijk van de experts. Managers en de wetgever stellen regels in werkelijkheid vaak op op basis van de praktische regels die gaandeweg in het werken met het complexe product ontstaan zijn. Daarom worden na incidenten ook vaak regels aangescherpt.

Hoe kan de manager dit soort ontwikkelingen in de hand houden als regels voornamelijk de praktijk volgen in plaats van andersom? In ieder geval zullen gaandeweg de regels moet worden vastgelegd en indien nodig bijgesteld. Praktische regels ontstaan weliswaar bij wijze van een soort modus operandi, maar ook cultuur heeft in dit soort processen een belangrijke functie. Bedrijven die met potentieel gevaarlijke technologieën werken, sturen hun werknemers niet slechts met behulp van regels, maar ook met zachtere stimulansen, zoals bewustwording en het creëren van een bedrijfsfilosofie en een organisatiecultuur van prudentie. Het belang van zo’n cultuur is dat deze automatisch van toepassing is op een nieuw product of nieuwe technologie; nog voordat er regels voor zijn. Cultuur is daarom weliswaar ‘zachter’ dan regels, maar ook eerder aanwezig.

Do’s

· Volg nadrukkelijk het ontstaan van modi operandi.

· Stimuleer actief de ontwikkeling van een bedrijfsfilosofie of organisatiecultuur bij ontwikkelaars en managers van innovatieve technologie of producten, die de ontwikkeling van modi operandi kan sturen.

Don’ts

· Vertrouw niet enkel op regels bij de introductie van innovatieve producten.

· Verwacht geen routine in operaties en producten die een geringe mate van reproductie hebben.

Paracetamol & risico-protocol special
17 juni 2015 | Martin van Staveren

Paracetamol, dat is toch een onschuldige pijnstiller? En een protocol, dat is er om de kans op fouten en daarmee risico’s te beperken? Op beide afzonderlijke vragen is het antwoord bevestigend. Maar de combinatie van paracetamol en protocol blijkt minder onschuldig. Zoals steeds duidelijker wordt dat een overdaad aan protocollen meer schaadt dan baat.

Zelfs de accountants, toch controleurs pur sang, riepen onlangs in een open brief op tot minder regulering in de zorg. Een voorbeeld uit de praktijk van de kinderafdeling in een ziekenhuis illustreert dit. Brengt dit je op voorbeelden uit je eigen praktijk?

Paracetamol is een wijdverbreid pijnstillend en koortsverlagend middel. Wie kent het niet, na bijvoorbeeld een feestelijke avond. Ook aan kinderen wordt het veelvuldig toegediend, als pijnstiller of om de algehele malaise van een ziek kind wat te verminderen. Hierbij is het wel zaak om, anders dan bij volwassenen, de dosering af te stemmen op het gewicht van het kind. Dit omdat de gewichtsverschillen voor doseringen van medicijnen bij kinderen veel belangrijker zijn dan bij volwassenen. Op een kinderafdeling variëren de patiënten van een baby van 3 kilo tot een bebaarde 17 jarige jongen van 80 kilo. Met andere woorden, naast uiteraard de kwaal bepaalt het gewicht van het kind de toe te dienen dosis paracetamol.

Protocol & wijzigingen

Zoals voor alle medicijnen is ook de dosering paracetamol voor kinderen per gewichtsklasse uitgewerkt in een protocol. Wat is dus handiger dan het bijbehorende lijstje uitprinten en ophangen op de behandelkamers van de kinderafdeling? Elke verpleegkundige kan dan snel zien welke dosis voor het betreffende kind geschikt is en op basis daarvan handelen. Maar, datzelfde protocol gaat nu knellen. Het is namelijk zo dat protocollen kunnen wijzigen, en daarom moeten ze elke 24 uur opnieuw worden uitgeprint. Dit gebeurt in de praktijk natuurlijk niet. Daarom is het verboden om het betreffende lijstje uit te printen en op te hangen. Als het er toch hangt, dan wordt het door een kwaliteits- en risicobewust afdelingshoofd direct verwijderd. Is dit kwaliteits- en risicobewust, of juist niet?

Het paracetamol protocol en risico’s

Hoe groot is de kans eigenlijk, dat de dosering paracetamol per gewichtsklasse plotseling verandert? Dit is immers de onderliggende reden dat het bewuste lijstje niet mag worden geprint en opgehangen. Weegt deze risicobeheersmaatregel wel op tegen de nadelen en daaraan verbonden risico’s? Want die zijn er. Het resultaat van deze gang van zaken is immers dat elke kinderverpleegkundige, ook die met ruim 25 jaar praktijkervaring, wordt belemmerd in het uitoefenen van het vak. Voor het toedienen van paracetamol moet er immers eerst op de computer het desbetreffende protocol worden opgezocht om de juiste dosis voor het betreffende kind te kunnen vaststellen. Uiteraard geen probleem, zolang het rustig is. Vaak is dit niet zo, niet zelden is het gewoon hectisch. Ouders staan er ook dan op dat hun kind optimale zorg krijgt. Het simpele paracetamolletje hoort daar vaak bij. Het alternatief voor de verpleegkundige is de dienstdoende kinderarts benaderen. Ook niet handig, zij heeft vaak wel iets belangrijkers te doen dan het vaststellen van de juiste dosering paracetamol. Of die ligt net even te slapen, na een drukke nachtdienst. Het betreffende kind ligt intussen te wachten op een pijn-verlichtende paracetamol, die de misère wat kan verlagen.

Wat kunnen we hiervan leren?

Dit voorbeeld maakt duidelijk dat goedbedoelde protocollen minder goed kunnen uitpakken. Door het paracetamol protocol, en dan vooral de regel dat het protocol elke 24 uur moet worden ververst, neemt het welzijn van de patiënt onnodig af en worden werkdruk van verpleegkundigen en artsen onnodig verhoogd. Hoge werkdruk met de bijbehorende stress is nu juist wel een significant risico voor de patiëntveiligheid, zeker tijdens nachtdiensten als iedereen toch al niet op z’n best is. Het op een enkel punt afwijken van dit protocol zal al helpen. Dus wel toestaan dat het lijstje met paracetamol doseringen per gewichtsklasse wordt geprint en opgehangen. Op andere afdelingen van het betreffende ziekenhuis is dit al het geval. Een kwestie van afdelingsleiderschap. Het risico dat de paracetamol doseringen voor kinderen acuut moeten worden aangepast is hiermee beoordeeld als acceptabel. De les is dus dat het accepteren van kleine risico’s een sterke beheersmaatregel kan zijn voor risico’s die er echt toe doen. Dit is een voorbeeld van risicogestuurd werken, zowel voor de zorg als voor andere sectoren.

10 Antwoorden op de risico-regelreflex column
13 mei 2015 | Martin van Staveren

De risicoregelreflex is bezig met een gestage opmars, evenals de bestrijding ervan. Politicologe Margot Trappenburg muntte de term in 2010 voor de reflexmatige reactie om snel en (ogenschijnlijk) daadkrachtig ‘iets te regelen’.

Trappenburg deed dit na optreden van een onverwachte gebeurtenis die leidt tot maatschappelijke commotie. Voorbeelden te over, denk aan legionellabesmetting, spoorveiligheid, brandveiligheid, kinderopvang, of de bankencrisis en beloningen van de bijbehorende bankiers.

De risico-regelreflex is toch goed bedoeld?

Jazeker, we verwachten immers dat bestuurders vanuit overheid burgers beschermen tegen onheil waar ze zelf geen grip op hebben. Alleen is niet elk onheil vooraf te voorzien. En als het toch te voorzien is, dan is het lang niet altijd te voorkomen, althans niet met de geijkte maatregelen als nieuwe regelgeving of verscherpt toezicht. Met andere woorden, louter goede bedoelingen zijn geen legitimatie voor de risicoregelreflex. Op basis van een nuchtere afweging van kosten en baten is het maatschappelijk gezien een uiterst kostbare reflex, zeker in tijden waarbij veel overheden continu moeten bezuinigingen. Overigens, de risico-regelreflex kan ook prima in bedrijven optreden. Vervang bestuurder door manager en burger door klant, en lees bovenstaande nog eens door.

De risico-regelreflex ontleedt

Het goede nieuws is dat het bewustzijn van de risico-regelreflex groeit, wat een eerste stap is naar de bestrijding ervan. Zo heeft de rijksoverheid in de periode 2010 – 2014 het programma Risico’s en verantwoordelijkheden uitgevoerd. Het doel was om overheden te ondersteunen met het proportioneel omgaan met risico’s en incidenten. De website risicoregelreflex.nl bevat tal van video’s en publicaties over dit onderwerp. Vanuit dit programma is ook het in 2015 verschenen boek 'Krachten rond de risico-regelreflex' ontstaan, geschreven door de Crisislab onderzoekers Ira Helsloot en Astrid Scholtens. Het boek ontleedt de risico-regelreflex en geeft maar liefst 27 praktijkgevallen, inclusief de krachtsverhoudingen tussen de aanjagende en dempende krachten.

9 Antwoorden op de risico-regelreflex

Op basis van de 27 praktijkgevallen hebben Ira Helsloot en Astrid Scholtens in totaal 9 dempende krachten voor de risicoregelreflex geïdentificeerd. Die zijn in willekeurige volgorde:

1. Bestuurlijke moed om op basis van feiten te beslissen

2. Burgers als risicorealisten beschouwen

3. Vertrouwen in professionaliteit van de uitvoering

4. Het laten verrichten van een risicovergelijking

5. Het in beeld brengen van kosten en baten van veiligheidsmaatregelen

6. Een expliciet beroep doen op andere waarden dan veiligheid

7. Verantwoordelijkheden van andere partijen expliciet benoemen

8. Erkenning van het noodlot

9. Het tonen van empathie door een boegbeeld uit het openbaar bestuur

Ook voor deze antwoorden op de risicoregelreflex geldt, vervang bestuurder door manager en burger door klant, en doe er in ook het bedrijfsleven je voordeel mee.

Het 10e antwoord op de risico-regelreflex

De 9 antwoorden op de risico-regelreflex zijn reacties op een incident of risico dat al is opgetreden. Daarom voeg ik nog één antwoord toe, nadrukkelijk zonder de illusie te willen wekken dat alle onheil preventief is aan te pakken. Dan komen we immers uit bij die andere reflex, de preventiereflex. Als 10e antwoord noem ik risicogestuurd werken, voorbij het gangbare en veelal instrumentele risicomanagement. Dergelijke risicosturing in de dagelijkse werkprocessen betekent als overheid of bedrijf met het volle risicobewustzijn werken aan het realiseren van doelen. Dit zonder in de risicokramp te schieten, met oog voor de realiteit en oor voor de menselijke maat. Het betekent nuchter en gestructureerd in beeld brengen welke onzekerheden de doelstellingen kunnen beïnvloeden en dan expliciet kiezen of en zo ja welke maatregelen passend zijn. Niet zelden is voorkomen immers beter dan genezen.

Dr. ir. Martin van Staveren MBA adviseert organisaties over effectiever omgaan met risico’s en onderliggende onzekerheden. Hij is ook kerndocent aan de Masteropleidingen Risicomanagement en Public Management, Universiteit Twente en auteur van Risicogestuurd werken in de praktijk.

Risicogestuurd werken in de praktijk: Nooit meer objectieve risico’s nieuws
15 april 2015 | Martin van Staveren

Iedereen die wat van doen heeft met risico’s heeft de vraag waarschijnlijk weleens gekregen: ‘Ik wil een objectieve risicoanalyse’. Deze vraag komt vaak van een leidinggevende, die waarschijnlijk aan de eigen leidinggevende iets moet rapporteren over risico’s. Objectiviteit, het liefst uitgedrukt in cijfers, geeft dan houvast. Maar kan dat eigenlijk wel? Objectief risico's analyseren?

Wat is eigenlijk een risico?

Dit lijkt misschien een domme vraag, maar dat is het niet. Als ik deze vraag stel gaan mensen meestal voorbeelden van risico’s geven: ‘Dat mijn project uitloopt, dat ik niet aan die nieuwe regelgeving kan voldoen, dat we negatief in het nieuws komen ‘. Wát een risico eigenlijk is blijft hierbij verborgen. Is het nou nodig om dit te onthullen? Ja, om te laten zien dat objectieve risico’s niet bestaan.

Oh, dat is dus een risico

Om aannemelijk te maken dat objectieve risico’s eigenlijk helemaal niet bestaan is een scherpe definitie van het begrip risico onontkoombaar. Een werkdefinitie die in de praktijk handig blijkt is de volgende: een onzekere gebeurtenis met oorzaken, een kans van optreden en effecten op doelstellingen. Als we deze definitie ontleden in vijf componenten, dan zien we gelijk dat het gehele risico nooit objectief kan zijn.

Objectieve componenten van een risico

Laten we beginnen met het eenvoudigste, ofwel de objectieve componenten van een risico. Dit zijn de gebeurtenis of situatie, die in de traditionele betekenis van een risico ongewenst is. Voorbeelden zijn de feitelijke vertraging van een project of het aantoonbaar niet kunnen voldoen aan de nieuwe regelgeving. Ook de doelen die bij optreden van deze risico’s worden beïnvloed zijn objectief vast te stellen. In beide voorbeelden zijn die doelen het opleveren van een project conform de planning en het kunnen voldoen aan de eisen van nieuwe regelgeving. Tot zover allemaal helder en eenduidig.

Subjectieve componenten van een risico

En dan nu de resterende drie risicocomponenten. Laten we beginnen met de kans, ofwel de waarschijnlijkheid dat de gebeurtenis of situatie daadwerkelijk optreedt. Als je geluk hebt zijn er statistieken of resultaten uit het verleden beschikbaar, en is zo’n kans met de bijbehorende betrouwbaarheid te berekenen. Heel vaak is dergelijke informatie echter niet beschikbaar, denk maar aan de voorgaande voorbeelden. Dan is het dus een kwestie van inschatten op basis van kennis, ervaring, en misschien wel iets als intuïtie.

Hetzelfde is het geval voor de oorzaken en effecten of gevolgen van het risico. Stel dat die vertraging van het project optreedt, wat zijn dan de oorzaken: zijn ze technisch of organisatorisch van aard, zijn het externe factoren of is het de individuele menselijke factor van medewerkers of managers? Wat is de uitloop in tijd, wat zijn de bijbehorende extra kosten en wat betekent het voor de reputatie van de betrokken organisaties? Dit soort vragen zijn niet louter objectief te beantwoorden. Ze zijn sterk afhankelijk van risicopercepties en dat maakt managers weleens gek.

Effectief omgaan met risico-subjectiviteit

Zelfs in het meest optimistische scenario, met een objectief te bepalen kans van optreden, blijven we dus zitten met gebrek aan kennis over de risico-oorzaken en -effecten. Is dat een probleem? Het is maar net wat je verwachting is. Als je inderdaad de illusie hebt dat risico’s objectief kunnen zijn, dan is dit waarschijnlijk even slikken. Als je dit punt al gepasseerd bent is het simpelweg het leren accepteren van deze realiteit, en daarmee omgaan. Dit betekent bijvoorbeeld het organiseren van diversiteit voor je risicoanalyses: verschillende mensen vanuit verschillende perspectieven dezelfde risico’s laten beoordelen. Wat zo ontstaat, zou je intersubjectiviteit kunnen noemen: uit gedeelde subjectiviteit ontstaat een hanteerbare opinie over het risico. Die helpt je bij de besluitvorming om er al dan niet iets aan te doen. Dit alles gegeven de doelstellingen, de strategie en het beleid van de organisatie. Met andere woorden, zonder objectieve risico’s is best te leven. Sterker nog, het houdt organisaties levendig.

Martin van Staveren is auteur van Risicogestuurd werken in de praktijk.

Martin van Staveren: ‘Risico’s vermijden lukt niet, ermee omgaan wel’ interview
18 maart 2015 | Justin van Lopik

‘Elke branche of organisatie met onzekerheden, veranderingen en een overkill aan protocollen heeft baat bij risicogestuurd werken.’ Aldus Martin van Staveren, auteur van het boek Risicogestuurd werken in de praktijk. Maar dat is natuurlijk gemakkelijker gezegd dan gedaan, niet in de laatste plaats omdat ‘risico’ een subjectieve perceptie is. Wat voor de een een risico is, is voor de ander een kans. Maar zo betoogt Van Staveren, door nu het begrip risico centraal te stellen, ontloop je die subjectiviteit en kun je er objectief omgaan.

U schrijft in de leeswijzer van uw boek dat het eerste hoofdstuk helpt om mensen te overtuigen van het nut en de noodzaak van risicogestuurd werken. Kunt u iets zeggen over dat nut en de noodzaak?
Laat ik beginnen met de noodzaak. Vrijwel elke organisatie heeft momenteel te maken met onzekerheden en bijbehorende risico’s. Het gaat dan bijvoorbeeld om veranderende marktomstandigheden, effecten van nieuwe technologie, aangepaste wet- en regelgeving of onverwachte eisen van consumenten. Het domweg negeren van die risico’s is geen optie meer. Vrijwel dagelijks lees je in de media over de gevolgen daarvan. Alle risico’s proberen te vermijden lukt in de meeste gevallen ook niet. Dan blijft er een derde weg over, en dat is zo goed mogelijk omgaan met risico’s, om desondanks als organisatie toch je doelen te kunnen realiseren. Het nut van risicogestuurd werken is dat het enerzijds helpt om de realiteit van risico’s onder ogen te zien, en anderzijds structuur brengt in het omgaan met risico’s. En dat niet als weer iets nieuws, náást de dagelijkse werkprocessen, maar juist ingebed in de dagelijkse praktijk.

Het zijn niet alleen de veranderende omstandigheden die meer risicobewustzijn vragen maar ook de veranderreflex van organisaties daarop, in combinatie met een mede daardoor toenemende werkdruk, zo schrijft u. Een perfecte storm zogezegd.
Dat klopt, een perfecte storm die nog geen indicatie geeft snel te gaan liggen. Politicologe Margot Trappenburg heeft enkele jaren geleden de term ‘risicoregelreflex’ gemunt die nog steeds actueel blijkt. Veel organisaties reageren met meer protocollen en regels op de toenemende onzekerheid die ze ervaren. Dat leidt tot steeds meer administratie en bureaucratie, maar dat kost tijd die niet aan het zogenoemde primaire werkproces kan worden besteed. Hier horen we niet alleen docenten en huisartsen in toenemende mate over klagen maar ook technici in bijvoorbeeld de industrie. Overigens is ook het gebruikelijke instrumentele risicomanagement nogal eens het resultaat van de veranderreflex, bijvoorbeeld als er iets goed is misgegaan in een organisatie. Het wordt dan vooral een verantwoordingsinstrument, in plaats van een aanpak om gericht mee te sturen onder onzekerheid. Dat is dus geen risicogestuurd werken.

Wat is risicogestuurd werken dan wel?
Risicogestuurd werken start met het lef om onzekerheid en risico’s te willen zien. Daaraan ontbreekt het nogal eens. Zo had ik onlangs een evaluatiegesprek met een ervaren projectleider. Hij had met een aantal teams enkele risicosessies gedaan. Daarin kwam een aantal steeds terugkerende risico’s naar voren. De projectleider kon ze niet oplossen en de verantwoordelijke lijnmanager wilde ze niet oplossen. De projectleider kreeg ze keihard retour. Op organisatieniveau ontbrak het aan risicobewustzijn én het besef dat op de iets langere termijn winst is te behalen door die risico’s eens écht structureel aan te pakken. Het handen en voeten geven aan risicobewustzijn start daarom met voorbeeldgedrag. Bijvoorbeeld door als leidinggevende risico’s te delen met het team, er zelf voor uit durven komen dat ze soms lastige dilemma’s opleveren, en desondanks scherpe keuzes te willen maken. Het is vooral een kwestie van mindset. Daarnaast geef ik zes algemene risicoprocesstappen die structuur en daarmee houvast geven. Die stappen zijn niet nieuw, ze zijn het op essentie gefilterde resultaat van alle in Nederland gebruikelijke methoden van risicomanagement.

Wat zijn die zes risicoprocesstappen?
De eerste stap bestaat uit het scherp krijgen van de doelen. Dit kunnen allerlei soorten doelen zijn, van organisatiebrede doelen tot persoonlijke werkdoelen, afhankelijk van op welk niveau in de organisatie en door wie de risicoprocesstappen worden uitgevoerd. Deze eerste processtap is logisch vanuit de moderne risicodefinitie die afkomstig is uit de ISO 31000 richtlijn voor risicomanagement: risico is het effect van onzekerheid op doelen. Zonder doelen dus geen risico, of juist een enorm risico… omdat je doelloos ronddoolt als organisatie. De tweede en derde risicoprocesstap zijn het identificeren en classificeren van risico’s: wát zijn de risico’s, gegeven de doelen, en zijn ze groot of klein? Op basis hiervan is de vierde stap de keuze om al dan niet iets aan het risico te doen. Dit kan zijn het verkleinen of wegnemen van de kans van optreden of gevolgen van het risico. Het kan ook heel goed het accepteren van het risico zijn. Of het risico volgen, om te kijken of het in de tijd groter of juist kleiner wordt. De vijfde stap is belangrijk en wordt nogal eens overgeslagen. Dit is het evalueren van de voorgaande stap. Zijn de genomen maatregelen effectief en waar blijkt dat uit? Wegen de kosten op tegen de baten? Wat kun je hier als organisatie van leren? Tot slot de zesde en laatste stap: de risicorapportage en de overdracht ervan naar bijvoorbeeld de volgende projectfase of het volgende kwartaal. Slimme organisaties maken van deze zes stappen een cyclus die bijvoorbeeld aansluit bij de planning & control cyclus van de organisatie of afdeling. Want omstandigheden veranderen, en daarmee ook risico’s. Denk bijvoorbeeld aan de publieke opinie, die een ogenschijnlijk klein risico tot enorme proporties kan laten escaleren. Voor managers en professionals met al wat risicomanagementervaring zijn deze algemene stappen niet nieuw. De twintig accentverschillen die ik in mijn boek uitwerk, zijn dat wel. Die maken namelijk het verschil tussen het vaak instrumentele en bureaucratische risicomanagement en vernieuwend risicogestuurd werken, waarbij juist de mens in de organisatie centraal staat.

Waarom is het belangrijk dat de mens centraler komt te staan rond het onderwerp risico's?
Omdat risico’s veel subjectiever zijn dan vaak wordt aangenomen. Ik krijg nogal eens de vraag om te helpen bij ‘een objectieve risicoanalyse’. Een manager wil dan bijvoorbeeld een lijst met zogenaamde ‘objectieve risico’s’ hebben. Maar van veel risico’s zijn helemaal geen objectieve feiten bekend. De kans erop wordt geschat op basis van kennis en ervaring, evenals de mogelijke gevolgen van het risico. Hierbij speelt het begrip risicoperceptie een cruciale rol. Dit is de unieke wijze waarop een persoon een risico ziet. Vaak zie je dat verschillende personen op basis van dezelfde informatie tot verschillende inschattingen van risico’s komen. Met het centraal stellen van de mens rond het onderwerp risico’s beoog ik dat van-mens-tot-mens gesprekken worden gevoerd over de risico’s waar een organisatie tegenaan loopt, met ruimte voor verschillen in risicoperceptie. Op basis van de doelen en strategie van de organisatie kan vervolgens worden besloten wat met die risico’s te doen. Dit kan overigens prima plaatsvinden in de al bestaande overleggen in organisaties.

Kunt u een paar voorbeelden geven van de nieuwe accentverschillen, en uitleggen hoe die helpen de mens in de organisatie centraal te stellen?
Jazeker. Eén van die accentverschillen is de beweging van onteigenen richting eigenaarschap. Met onteigenen bedoel ik dat er een afdeling risicomanagement is waar de risicomanagers en risicoanalisten zitten. Dit geeft het signaal dat ánderen zich om mijn risico’s bekommeren. Risicogestuurd werken betekent risico-eigenaarschap formeel neerleggen bij die personen, die ook verantwoordelijk zijn voor de doelen waarop de risico’s betrekking hebben. Een ander voorbeeld is de verandering van low trust - high tolerance richting high trust – low tolerance. Het eerste betekent weinig vertrouwen – en dus veel protocollen en controles – en een hoge mate van tolerantie als er toch niet volgens de protocollen is gewerkt. Denk hierbij aan de chemische industrie, met voorbeelden als Chemie-Pack en Odfjell. Risicogestuurd werken heeft vertrouwen tussen mensen als uitgangspunt, met wel een uiterst lage tolerantiedrempel als dat vertrouwen wordt beschaamd. Dit betekent onder andere elkaar durven aanspreken en dat gaat indien nodig tegen de hiërarchie in. Consequent handelen vanuit high trust – low tolerance leidt al na één controle tot het tijdelijk sluiten van een afdeling of bedrijf dat systematisch de regels overschrijdt die er daadwerkelijk toe doen. Bijvoorbeeld regels wat veiligheid voor medewerkers en omgeving betreft. Risicogestuurd werken hanteert daarom liever minder risicobeheersmaatregelen met serieuze consequenties, dan veel maatregelen die de schijn van beheersing oproepen. Bij deze voorbeelden, en ook bij de overige accentverschillen, spelen houding en gedrag van mensen van vlees en bloed de hoofdrol. Dit in tegenstelling tot het gebruikelijke instrumentele risicomanagement waarbij het vaak vooral over het volgen van de bijbehorende procedures en protocollen gaat, met het zetten van de bijbehorende vinkjes en parafen. Zoals de Britse risicomanagementexpert David Hillson het pakkend formuleert: ‘A fool with a tool is still a fool.’ Risicogestuurd werken betekent dus vooral de ‘fool’ risicovolwassener maken, waarbij methoden en tools ondersteunend zijn.

Tot slot, welke branche/organisatie zou volgens u vandaag nog risicogestuurd moeten gaan werken?
Oei, nu loop ik een risico te gaan blamen en shamen vanaf de zijlijn, en dat is nadrukkelijk niet mijn bedoeling. Maar goed… Ik merk bijvoorbeeld dat er in de verzekeringswereld veel behoefte aan is. Intermediairs mogen immers niet meer op provisiebasis werken en zijn naarstig op zoek naar een ander verdienmodel. Gezien de gaswinningsproblematiek in de provincie Groningen is er voor de betrokken overheden, bedrijven en inwoners ook nog wel wat te winnen. Ten slotte lopen we in de zorg aan tegen allerlei grenzen vanwege de vergrijzing de steeds hogere verwachtingen van patiënten, en de toenemende mogelijkheden van de medische wetenschap. Om daarin een maatschappelijk acceptabele balans te vinden kan risicosturing eveneens helpen. Om een lang verhaal kort te maken, eigenlijk denk ik dat elke branche of organisatie met onzekerheden, veranderingen en een overkill aan protocollen baat heeft bij risicogestuurd werken.

Slimmer Omgaan met risico’s – 10 Bonustips nieuws
18 februari 2015 | Martin van Staveren

Vorige week gaf Martin van Staveren al 10 tips over de omgang met risico's, deze week krijgt u er 10 extra. Want met risico’s heeft elke organisatie te maken.

1. Durf te kiezen. Omgaan met risico’s betekent scherpe keuzes durven maken, ondanks onzekerheid. Oorzaken en gevolgen van risico’s zijn zelden met 100% zekerheid vast te stellen. Het is daarom van belang om tijdig de stopknop in te drukken. Dan eindigt verder onderzoek naar de risico’s en wordt gekozen wat te doen, óf niet te doen. Dit altijd op basis van de doelen die de risico’s kunnen bedreigen.

2. Beperk onderzoek. Deze tip heeft twee betekenissen en sluit aan op de voorgaande. Geef enerzijds van elk onderzoek, bijvoorbeeld een marktverkenning, de beperkingen aan. Welke vragen worden niet beantwoord, wat zijn de aannames, en dergelijke. De tweede beperking betreft de omvang van onderzoek. Niet zelden zijn onzekerheden niet te verkleinen door meer onderzoek, wel door scherpe(re) keuzes. Dit kan veel geld besparen.

3. Denk in cirkels. Slim omgaan met risico’s heeft veel weg van de bekende Deming-cyclus voor kwaliteitsmanagement: plan – do – check – act. Risico’s zijn dynamisch, omdat oorzaken, gevolgen en vooral de percepties erop veranderen. Daarom betekent slim omgaan met risico’s het regelmatig doorlopen van de Deming-cirkel. Kwaliteitsrisico’s zijn voor veel organisaties overigens risico’s van belang, zodat het mes aan twee kanten snijdt.

4. Ga ontwikkelen. Risicogestuurd werken past niet in een strak geregisseerd plan van aanpak. Het is vooral een kwestie van leren doen, risico’s zichtbaar maken, zo nodig maatregelen kiezen en die dan ook uitvoeren. Zoals de Amerikanen zeggen: ‘It works bij working on it’. Wel is het essentieel om regelmatig even stil te staan en te beoordelen of het werkt. Zo ja, ga door. Zo nee, pas het aan.

5. Organiseer flexibiliteit. Dit is een vereiste voor het voorgaande. Dat gaat alleen als werkprocessen en procedures eenvoudig kunnen worden aangepast, daar waar ze risicogestuurd werken frustreren in plaats van bevorderen. Hierbij helpt het om, paradoxaal, flexibiliteit te formaliseren.

6. Onderken interactie. Evenals veel andere gebeurtenissen zijn optredende risico’s zelden te verklaren uit ‘één oorzaak – één gevolg’ relaties. Wederzijdse interactie van meerdere oorzaken en gevolgen passen meer bij de realiteit. Meervoudige oorzaak – gevolg relaties kunnen helpen om structuur aan te brengen en daarmee besluitvorming over omgaan met risico’s te ondersteunen. Het blijft daarbij zaak om ze als vereenvoudigingen van de werkelijkheid te zien.

7. Accepteer verspilling. Oké, iets genuanceerder, accepteer kleine verspilling. Efficiëntie is de norm in veel organisaties. Minder mensen moeten meer doen. Dit maakt organisaties kwetsbaar, zoals je gevoeliger wordt voor griep na een periode te weinig slaap. Iets meer (over)capaciteit aanhouden maakt organisaties weerbaarder om met het onverwachte om te gaan. En niet zelden zijn optredende risico’s onverwacht.

8. Merk afwijkingen op. Veel opgetreden risico’s blijken, na analyse achteraf, al de nodige waarschuwingssignalen te hebben afgegeven. Die signalen zijn destijds niet opgevangen, of er is niet naar gehandeld. Terwijl dat de gevolgen van het risico zou hebben kunnen beperken, of soms zelfs het optreden van het risico had kunnen voorkomen. Opmerkzaamheid ten aanzien van afwijkingen, op basis van kennis en ervaring, hoort daarom bij risicogestuurd werken.

9. Beperk de gevolgen. Twee hoofdsmaken voor omgaan met risico’s zijn het beperken van de kans van optreden of de gevolgen. Vaak wordt de laatstgenoemde optie vergeten en wordt heel veel geld gestoken in het nog kleiner maken van een al kleine kans. Het overwegen van gevolgreductie kan hierbij helpen. Dit is bijvoorbeeld in toenemende mate het geval op het gebied van ICT-risico’s.

10. Weet het niet. We hebben in onze opleidingen geleerd om te weten, in plaats van om niet (zeker) te weten. Vooral in technisch-georiënteerde organisaties is deze houding vaak dominant. Bij risicogestuurd werken is de erkenning het niet (helemaal) te weten een teken van kracht, in plaats van zwakte. Slim omgaan met risico’s start met niet zeker weten.

Martin van Staveren helpt managers en professionals in organisaties met het ontwikkelen van risicogestuurd werken. Dit om organisatiedoelen ondanks risico’s te kunnen realiseren. Hij is auteur van Risicogestuurd werken in de praktijk.

Slimmer omgaan met risico’s – 10 Tips nieuws
12 februari 2015 | Martin van Staveren

Met risico’s heeft elke organisatie te maken. Ze kunnen de organisatiedoelen danig in de weg zitten. Hoe ermee wordt omgegaan verschilt enorm. Er wordt van weggekeken, of regelgeving wordt dichtgetimmerd met de illusie van zekerheid. Het kan ook anders, door risicogestuurd te werken. Hierbij kijk je de realiteit van onzekerheid diep in de ogen en maak je op basis daarvan scherpe keuzes. Een paar simpele tips om slimmer om te gaan met je risico’s.

1. Pak het eenvoudig aan. Er zijn tientallen benaderingen voor het managen van risico’s in omloop. In feite komen ze allemaal op hetzelfde neer: wat zijn de risico’s die je doelen bedreigen, hoe groot zijn ze en wat ga je er aan doen? Risicogestuurd werken is dergelijke vragen expliciet beantwoorden en waar nodig actie ondernemen. Soms is bewust niets doen overigens een prima optie.

2. Ga uit van doelen. Een risico kun je zien als het effect van onzekerheid op doelen. Dat kunnen je persoonlijke werkdoelen zijn, doelen van je afdeling of organisatie-brede doelen. Zonder doelen heb je dus geen risico’s, en ben je doelloos bezig. Weinig organisaties houden dat lang vol. Heldere doelen zijn dus het startpunt voor het omgaan met risico’s. Af en toe doelen bijstellen hoort daar ook bij.

3. Kijk verder dan de financiële effecten. Optredende risico’s kosten niet alleen geld, bijvoorbeeld voor het compenseren van schade of de uitloop van een project. Soms is de gezondheid van medewerkers of klanten in het geding. Niet zelden geeft een optredend risico de reputatie van een organisatie een forse deuk. Houdt daarom rekening met meerdere effecten bij het omgaan met risico’s.

4. Stop met standaardisatie. Er zijn nogal wat organisaties die het omgaan met risico’s willen standaardiseren. Eén aanpak en protocol voor het hele bedrijf, met de bijbehorende spreadsheet. Dit gaat voorbij aan de verschillende werkwijzen binnen dezelfde organisatie. Risicogestuurd werken betekent omgaan met risico’s inbedden in al bestaande werkprocessen. Standaardisatie, hoe aantrekkelijk het ook lijkt, is dan niet altijd functioneel.

5. Benut diversiteit. Eén van de pijlers voor het effectief omgaan met risico’s is openstaan voor verschillen in risicoperceptie. Verschillende personen schatten op basis van dezelfde informatie risico’s verschillend in. Dit is geen kwestie van goed of fout, maar van anders. Door diversiteit te organiseren krijg je verschillende visies op risico’s, en daarmee meer mogelijkheden om de optimale aanpak te bepalen, gegeven je doelen.

6. Organiseer eigenaarschap. Risico’s zonder eigenaar dolen als een wees door de organisatie. Iedereen heeft het waarschijnlijk al druk genoeg en weinigen zullen zich spontaan over zo’n risico bekommeren. Totdat het is opgetreden… Maak daarom duidelijke afspraken wie verantwoordelijk is voor welke risico’s, evenals dat voor doelen of ‘targets’ gebeurt.

7. Nodig uit. Dit hoort bij de voorgaande tip over eigenaarschap. Afdwingen werkt zelden, en al helemaal niet als het over iets gevoeligs als omgaan met risico’s gaat. Iedereen een dagdeel cursus laten volgen en dan verplicht risicogestuurd werken is geen optie. Bied daarbij de ruimte en waar nodig hulp aan om risico’s te leren hanteren. En laat zien wat het voor wie oplevert.

8. Vertrouw meer en tolereer minder. Te vaak wordt risicomanagement meer gebruikt als instrument voor verantwoording, dan als hulpmiddel om onder onzekerheid doelen te realiseren. Vertrouw op de professionaliteit van managers en medewerkers. Als ze verantwoordelijk zijn voor doelen, dan zijn ze dat ook voor de bijbehorende risico’s. Als dat vertrouwen doelbewust wordt geschonden is er een serieus probleem. Tolereer dat niet.

9. Beperk de omvang. Hoeveel risicomanagement is genoeg? Is er wel een aparte afdeling risicomanagement nodig, met aparte risicomanagers? Of kan het omgaan met risico’s in de lijnorganisaties en projecten worden verankerd? Hoeveel risicorapportage is functioneel, zodat het geen papieren tijger wordt? Dit zijn relevante vragen om te vermijden dat risicomanagement te groot en te ingewikkeld wordt gemaakt.

10. Laat onzekerheid toe. Dit raakt het hart van risicogestuurd werken. Het gebruikelijke risicomanagement wil wel eens de indruk wekken dat daarmee alles onder controle is. Dit is een kansloze illusie. Risicogestuurd werken betekent gegeven de omstandigheden optimaal omgaan met risico’s en daarbij accepteren dat er echt nog wel eens wat mis gaat. Volledige controle over onzekerheid is een illusie. Risicogestuurd werken prikt die door.

Martin van Staveren helpt managers en professionals in organisaties met het ontwikkelen van risicogestuurd werken. Dit om organisatiedoelen ondanks risico’s te kunnen realiseren. Hij is auteur van Risicogestuurd werken in de praktijk.

Volgende week geeft Van Staveren weer 10 tips.

Van recensent naar auteur: Martin van Staveren nieuws
9 februari 2015 | Justin van Lopik

Eric van Arendonk, Peter de Roode en Danielle de Jonge gingen hem onder anderen voor; zij ‘begonnen’ ooit als recensent voor Managementboek.nl. Het bloed kroop waar het niet gaan kon en zij schreven een managementboek. Sinds kort hoort ook Martin van Staveren thuis in dit rijtje.

Van Staveren schreef Risicogestuurd werken in de praktijk, zijn eerste brede managementboek laat zien hoe je binnen je organisatie op een gezonde manier kan omgaan met risico’s. Voor Van Staveren is het onderwerp dicht bij huis: hij is kerndocent in de masteropleidingen Risicomanagement en Public Management, Universiteit Twente, en met zijn bureau VSRM helpt hij organisaties risicogestuurd te werken. Ook schreef Martin verschillende recensies van boeken binnen dit vakgebied. Deze vindt u: https://www.managementboek.nl/boeken_van_recensent/607/martin-van-staveren

 

Het team van Managementboek feliciteert Martin hartelijk met zijn eerste managementboek!

Populaire producten

    Personen

      Trefwoorden