Stop Symptoombestrijding: De Sleutel tot Effectief Risicomanagement
In mijn werk als adviseur zie ik dat gesprekken over effectief risicomanagement vaak verzanden in abstracte begrippen als ‘risicobewustzijn’, ‘cultuur’ en de ‘tone at the top’. Hoewel deze concepten waardevol zijn, bieden ze zelden de concrete handvatten die organisaties nodig hebben om risico’s daadwerkelijk beter te beheersen. Het blijft te vaak bij praten, zonder te doen.
Effectief risicomanagement begint, zoals ik in mijn vorige blog beschreef, met helder risico-eigenaarschap. Zodra duidelijk is wie verantwoordelijk is voor een risico, volgt de cruciale vraag: hoe beheers ik dit risico nu echt effectief?
De Denkfout: Maatregelen Koppelen aan het Verkeerde Element
Om een risico doeltreffend te beheersen, moeten we eerst scherp hebben wat het risico precies is. In de praktijk zie ik organisaties allerlei risico’s benoemen en daar direct beheersmaatregelen aan koppelen. Een klassiek voorbeeld dat ik vaak tegenkom, is het frauderisico. De standaardmaatregel die dan wordt genoemd, is het vierogenprincipe.
Maar is dat een effectieve maatregel? De afgelopen jaren hebben we helaas diverse grootschalige fraudes gezien bij organisaties als woningcorporaties Stadgenoten en Vestia, ondanks de aanwezigheid van dergelijke protocollen. Ook CEO-fraude en datamanipulatie blijven een hardnekkig probleem. Hoe kan het dat deze maatregelen falen?
Hier wordt een essentiële denkfout gemaakt: beheersmaatregelen richten zich niet op het risico zelf. Een risico is immers een mogelijke gebeurtenis – het gebeurt wel of het gebeurt niet. Een maatregel kan een gebeurtenis die al heeft plaatsgevonden niet ongedaan maken.
Om de kans dat een risico optreedt te beïnvloeden, moeten we ons richten op de oorzaken ervan. Om het frauderisico effectief te beheersen, moeten we dus eerst de verschillende oorzaken van fraude in kaart brengen. Pas daarna kunnen we gerichte maatregelen treffen om deze specifieke oorzaken weg te nemen of te verkleinen. Het vierogenprincipe is dan mogelijk één van de maatregelen, maar zelden de enige en zeker niet altijd de meest effectieve.
Een Duidelijke Metafoor
Vergelijk het met een bezoek aan de huisarts. U komt binnen en zegt: “Dokter, ik voel me niet lekker.” De dokter zegt: “Neem maar een paracetamol.” In dit scenario is paracetamol de beheersmaatregel voor de gebeurtenis (‘niet lekker voelen’). Gelukkig werkt onze medische wereld niet zo. Een goede arts investeert tijd in diagnose: wat is er écht aan de hand? Wat is de oorzaak van het onwelzijn? Pas wanneer de diagnose – de oorzaak – bekend is, kan een effectieve behandeling worden gestart. Alles daarvoor is schijnbeheersing.
De Oplossing: Analyseer Oorzaken én Gevolgen met de Bowtie-methode
Om een risico écht te beheersen, moeten we dus niet alleen naar de gebeurtenis kijken, maar juist naar de oorzaken die eraan voorafgaan en de gevolgen die eruit voortkomen. Een krachtig instrument dat wij in onze trajecten gebruiken om dit visueel en inzichtelijk te maken, is de Bowtie-methode. De naam komt van de vorm, die op een vlinderdas lijkt.
In deze methode staat de centrale risicogebeurtenis (bijvoorbeeld ‘brand’) in het midden.
Aan de linkerkant brengen we de oorzaken in kaart die tot de brand kunnen leiden (bv. kortsluiting, brandstichting, defecte apparatuur). De maatregelen die we hier treffen, zijn preventief. Ze zijn gericht op het verkleinen van de kans dat de brand überhaupt ontstaat.
Aan de rechterkant analyseren we de gevolgen die de brand kan hebben (bv. letsel, bedrijfsschade, reputatieverlies). De maatregelen aan deze kant zijn correctief of mitigerend. Ze zijn gericht op het verkleinen van de impact als de brand toch uitbreekt, zoals een sprinklerinstallatie of een ontruimingsplan.
—
Over de auteur:
Drs. Geert Haisma is de drijvende kracht achter Succesmanagement. Tijdens zijn jarenlange werk als bestuurskundige zag hij hoe een integrale kijk op doelen, processen en risico’s leidt tot meer succes. Daarom ontwikkelt hij vooruitstrevende instrumenten die organisaties helpen om effectiever te worden met behulp van data, moderne ICT en AI.