Opzetten en toepassen van risicomanagement is de wens van veel organisaties. Van concept tot het opzetten gaat over het algemeen goed. Maar de moeilijkheid zit in de staart, de implementatie en het borgen. 

De acht valkuilen en misvattingen bij implementatie van risicomanagement:

1. Risicomanagement kost veel tijd

Een veel gehoorde misvatting is dat risicomanagement veel extra tijd kost. Een gestructureerd proces van risicomanagement zorgt juist voor een heldere prioriteitsstelling en minder verrassingen achteraf. Er is immers vooraf nagedacht over wat mogelijk mis kan gaan en hoe dit voorkomen kan worden of hoe hier achteraf mee om te gaan. Investering in tijd vooraf kan veel tijd besparen bij brandjes blussen achteraf.

2. Risicomanagement verzwaart altijd het proces

Het toepassen van risicomanagement brengt een bewustzijn dat bepaalde ongewenste risico’s niet voldoende worden beheerst. In dat geval kunnen er aanvullende maatregelen worden getroffen. Maar efficiënte risicobeheersing gaat over het optimaal beheersen van risico’s met zo min mogelijk handelingen. Waarbij de organisatie een juiste balans bereikt tussen commerciële activiteiten, een efficiënte organisatie en het optimaal beheersen van de risico’s. Ook wel de CER driehoek genoemd.

3. Riskmanagement is de taak van een afdeling

Risicomanagement is een proces dat, wil het toegevoegde waarde opleveren, gedragen moet worden op alle niveaus in de organisatie. Dit betekent dat het management een belangrijke rol heeft bij de implementatie van risicomanagement. Te weinig aandacht van het management betekent dat de kans op doodbloeden groot is. Door eigen gedrag, bijvoorbeeld het expliciet vragen naar risico’s en het niet afstraffen wanneer risico’s genoemd worden, kan het management bijdragen aan een sterke risicocultuur. 

4. Risicomanagement is een onderdeel van verzekeren

Voor risicomanagers is dit vloeken in de kerk. Risicomanagement is het proces van risico-inventarisatie, analyses en het treffen van (beheers-)maatregelen. Verzekeren is daarbij een van de laatste mogelijkheden na het treffen van verschillende vormen van mitigerende maatregelen.

5. Risicomanagement is statisch en eenmalig

Misvatting die wel eens wil ontstaan is dat risicomanagement een eenmalig of jaarlijkse exercitie is en daardoor als statisch wordt beschouwd. Voor organisaties die zich bevinden op het eerste volwassenheidsniveau van M_o_R  klopt dat wel. Maar echt risicomanagement mag dat nog niet worden genoemd. Want volwassen risicomanagement gaat over het continu inventariseren, analyseren (kwalitificeren) en beheersen van risico’s (zgn. Deming-cycle). 

6. Risicomanagement is een speeltje van planning en control

Wanneer risicomanagement vanuit een financiële verplichting, bijvoorbeeld in wet- en regelgeving, ingezet wordt is het vaak vanzelfsprekend dat de implementatie terecht komt bij Compliance, Control of Financiën. Hiermee ligt de focus al snel op controle en toezicht en het benoemen van financiële risico’s. Door verbreding van het team dat regelmatig bezig is met risicomanagement is het vaak goed mogelijk risicomanagement uit deze hoek te krijgen en zo ook een grotere toegevoegde waarde te krijgen.

7. Risicomanagement betekent alleen informatie ophalen

Voor veel medewerkers betekent het betrokken zijn bij risicomanagement dat zij een of twee maal per jaar een uitnodiging ontvangen voor een bijeenkomst of risico-expertsessie om het risicoprofiel te actualiseren. Om betrokkenheid bij het onderwerp te houden, en daarmee ook sneller nieuwe risico´s boven tafel te krijgen, is het van belang dat zij ook weten wat er met de aangeleverde gegevens gebeurt. Het delen van successen en ontwikkelingen tijdens het risicomanagementproces levert veel draagvlak op om in de toekomst risico’s en incidenten te blijven melden.

8. Risicomanagement doen we al

Als laatste de misschien wel meest genoemde reactie van organisaties die weerstand bieden bij het inrichten van risicomanagement is: ‘Risicomanagement doen we toch al!’ En deels klopt dat. Want de mens is in de basis veel bezig om zijn onzekerheden weg te managen. Ook bepaalde afdelingen zijn impliciet bezig om risico’s het hoofd te bieden. Maar omdat iemand een risico ziet en daarvoor een verzekering heeft afgesloten, wordt er nog niet gedaan aan risicomanagement. Vergelijking: doordat iemand een bonnetje heeft en die in een map heeft opgeborgen kan nog niet worden gezegd dat de organisatie zijn administratie op orde heeft. Kortom,, bij risicomanagement gaat het om het proces van inventarisatie, analyse en beheersing van de risico’s.

 [1] CER Driehoek= Commercie, Efficiency en Risicobeheersing.

 [2] M_o_R = Management of risk

Bron: Dit artikel is ontleend aan het artikel Valkuilen en dooddoeners bij de implementatie van risicomanagement van Nederlands Adviesbureau voor Risicomanagement en het boek Ga Niet Langs Af van R.H.A. van Asch en M.A. Dorresteijn (2010)

Gepubliceerd in Checklisten

Terug