Wie is de eigenaar van een risico?
In de vele organisaties waar ik als adviseur kom, en dan met name binnen de publieke sector, zie ik vaak een fundamentele onduidelijkheid: wie is nu precies verantwoordelijk voor een risico en voor het managen ervan? In de praktijk wordt risicomanagement vaak gezien als een ‘feestje’ van de controller.
Maar eigenaarschap van risico’s is allesbehalve een feestje, en dat verklaart waarschijnlijk waarom veel managers niet staan te springen om die rol op zich te nemen. De angst voor wat er kan misgaan en de bijbehorende aansprakelijkheid speelt hierin een grote rol.
Wat veel managers zich echter onvoldoende realiseren, is dat het proactief managen van risico’s hen juist helpt om succesvol te zijn. In mijn ervaring is het simpel: wanneer het eigenaarschap van een risico tussen wal en schip valt, gebeurt er niets. Het risico wordt dan per definitie groter.
De essentie van risicomanagement wordt vaak verkeerd begrepen. Daarom duik ik in de basisprincipes, te beginnen met de meest cruciale vraag.
Wat is een risico nu eigenlijk?
Om te beginnen, wat is een risico? Er zijn talloze definities vanuit erkende raamwerken als ISO 31000 en COSO, maar ze komen allemaal op hetzelfde neer. In de kern is een risico een mogelijke gebeurtenis die de realisatie van doelen of de output van processen kan bedreigen.
En precies daar zit de crux. Bestuurders willen hun doelen realiseren. Proceseigenaren willen een soepel en stabiel proces. Dat kan alleen als je de risico’s die deze doelen of processen bedreigen, daadwerkelijk kent en beheerst. In deze constatering ligt het antwoord op de eigenaarschapsvraag al besloten.
De valkuil van ‘zwevende risico’s’
Risicomanagement is niet simpelweg het opstellen van een lange lijst met risico’s, een praktijk die ik helaas nog te vaak tegenkom. Risico’s krijgen pas betekenis als je ze in hun context plaatst en relateert aan het doel of proces waar ze bij horen. Gebeurt dit niet, dan creëer je een lijst met wat ik ‘zwevende risico’s’ noem. Dit zijn risico’s die niemand echt kan duiden en waarvoor niemand zich verantwoordelijk voelt.
Een aanpak zoals het berekenen van het weerstandsvermogen bij gemeenten kan bijvoorbeeld onbedoeld leiden tot dergelijke losse risicolijstjes. Dit voedt de discussie over eigenaarschap en ondermijnt de toegevoegde waarde van risicomanagement, in plaats van deze te versterken.
Eigenaarschap koppelen: van strategisch tot tactisch
De oplossing is om risico’s direct te verbinden aan de hiërarchie van uw organisatie.
Strategische Risico’s
Om je strategische doelen te bereiken, moet je denken vanuit die doelen. De vraag die een doeleigenaar zich moet stellen is: “Wat kan ervoor zorgen dat ik mijn doelen niet realiseer zoals ik dat voor ogen heb?”
Degene die het meeste belang heeft bij het antwoord op die vraag, is de eigenaar van het doel. Deze persoon, vaak een bestuurder of directielid, is de primair belanghebbende. De kans dat hij of zij actie onderneemt om het risico te verkleinen, is daardoor veel groter dan bij ieder ander in de organisatie. Risico’s die direct gerelateerd zijn aan een hoofddoel, noemen we strategische risico’s.
Tactische Risico’s
Op tactisch niveau geldt exact dezelfde redenering. Hier stel je als proceseigenaar of projectmanager de vraag: “Wat kan ervoor zorgen dat mijn proces of project hapert of afwijkt van de planning?”
De proceseigenaar of projectmanager wil immers verrassingen tijdens de uitvoering voorkomen. Zijn of haar belang is om belemmeringen vooraf weg te nemen of te verkleinen. Risico’s die buiten de eigen invloedssfeer liggen, zal deze eigenaar scherp willen monitoren om tijdig te kunnen anticiperen.
Conclusie: eigenaarschap als sleutel tot succes
Door risico’s structureel te koppelen aan doelen en activiteiten, wordt direct duidelijk wie de eigenaar is. Het is de persoon die in het primaire proces al verantwoordelijk is voor het resultaat:
De bestuurder of directeur voor strategische risico’s die doelen bedreigen.
De manager of projectleider voor tactische risico’s die processen en projecten bedreigen.
Deze risico-eigenaar is vervolgens degene die beslist over maatregelen om risico’s beheersbaar te maken. De toegevoegde waarde is helder: het vergroot de kans op een succesvolle realisatie van doelen en activiteiten. De rol van de risicomanager of de tweede lijn is hierin ondersteunend en adviserend. Eigenaarschap nemen gaat niet over het afdekken van schuld, maar over het vergroten van je eigen succes.
—
Over de auteur:
Drs. Geert Haisma is de drijvende kracht achter Succesmanagement. Tijdens zijn jarenlange werk als bestuurskundige zag hij hoe een integrale kijk op doelen, processen en risico’s leidt tot meer succes. Daarom ontwikkelt hij vooruitstrevende instrumenten die organisaties helpen om effectiever te worden met behulp van data, moderne ICT en AI.