U bent eigenaar van een bedrijf dat al een paar jaar goede omzetten heeft. De kwartaalcijfers groeien. De organisatie is een goed geoliede machine en de vraag naar uw product/dienst neemt toe. Oftewel,  de toekomst ziet er rooskleurig uit. Op welk moment komt risicomanagement dan om de hoek kijken? Wanneer is dat eigenlijk nodig? Die laatste vraag lijkt irrelevant als het al jaren prima gaat.

Helaas blijkt dat veel ondernemers zichzelf zich deze vragen niet of te laat stellen. Slechts een kleine groep ondernemers past risicomanagement bewust toe. En in veel gevallen is dat dan ook nog op basis van ‘gezond boerenverstand’. Wat is wijsheid?

Downside en upside
De wijze waarop risicomanagement wordt ingezet en toegepast is deels afhankelijk van het perspectief ten opzichte van risico’s. De betekenis van het woord risico, is de kans dat een potentieel ‘gevaar’ resulteert in een daadwerkelijk incident en de ernst van het letsel of schade gevolgen heeft. Dit noemen wij ook wel de  ‘downside’ van risico’s. De focus ligt op de negatieve gevolgen. Er is ook een upside: een potentieel gevaar op een juist moment en op de juiste wijze adresseren, de gevolgen van manifestatie beperken en daarmee de risico’s mitigeren. Hierdoor kan de onderneming een competitief voordeel bereiken ten opzichte van concurrenten. In het laatste geval zet de ondernemer risicomanagement in om risico’s te nemen die concurrenten niet durven te nemen. Met deze twee uitersten is er dus voor iedere ondernemer een geschikt framework te creëren ten aanzien van risicomanagement.

Inschattingsfouten
Vanuit onze business ontmoeten we dagelijks ondernemers die keihard werken om organisatiedoelstellingen te behalen. Het niet halen van een doelstelling is feitelijk een risico voor een onderneming. Maar de mogelijke factoren die van invloed kunnen zijn op het wel of niet behalen (concurrentie, crisis, afhankelijkheden), zijn voor een groot deel in kaart te brengen en te voorspellen. Binnen de grote en mondiale organisatiewereld is de ‘jurisprudentie’ wat dat betreft immens groot. Wij archiveren dergelijke scenario’s, gekoppelde risico’s, gemiddelde kans/effect en passende weerstandsmaatregelen. Daardoor herkennen we diverse trends en ‘veel wederkerende gedragingen’. Met dit laatste bedoel ik niets anders dan dat veel ondernemers dezelfde soort ‘inschattingsfouten’ maken. Soms heeft dat kleine gevolgen en gaat de onderneming door met waar zij zich mee bezig hielden. Anderen ervaren veel grotere gevolgen van diezelfde kleine fout. Gelijke risico’s kennen nooit een identieke afloop.

Timing
Wanneer moet u zich gaan bezighouden met risicomanagement en het eventueel inschakelen van een derde? Deze vragen zijn niet eenduidig te beantwoorden, omdat het deels afhankelijk is van de ondernemer zelf. Niet iedereen vindt het prettig om een externe organisatie inzage te geven in de kwetsbaarheden van de organisatie. Een proportionele opbouw is dan ook van cruciaal belang waar men begint met een specifiek onderzoek naar een proces of een incident. Zo bouw je geleidelijk de relatie op en heeft de ondernemer niet het gevoel dat hij zijn ziel en zaligheid binnen een uur op tafel moet leggen.

“De eerste vraag van een potentieel nieuwe trainer van een professioneel bokser zal niet zijn: ‘Wat is je meest kwetsbare plek?’ Risicomanagement begint met een vertrouwelijke relatie op- en uitbouwen.”

RI&E
We horen regelmatig: “We hebben al eens een verplichte RI&E gedaan.“ Helaas geeft dit een beperkt deel van de risico’s weer. Door de onvolledigheid is de ondernemer er mogelijk onterecht van overtuigd dat hij zijn risico’s goed heeft geregeld. Maar de realiteit is dat de weerstand die geboden wordt, niet het gewenste niveau haalt. Dit wordt ook wel schijnveiligheid genoemd (beperkt niet tot alleen veiligheidsrisico’s).

Risicovolwassenheid
Normaliter kunnen we zeggen dat iedere onderneming die zichzelf doelen stelt, ‘geschikt’ is voor risicomanagement. De behoefte openbaart zich vaak pas nadat er een incident heeft plaatsgevonden. Soms komt dat moment nooit.  Op jaarbasis verliezen ondernemingen honderden miljoenen euro’s aan incidenten die relatief eenvoudig te voorkomen zijn door de risico’s te adresseren nog voordat zij een probleem vormen. Dit vraagt echter wel om een hoge mate van risicovolwassenheid en dat past weer niet bij ieder mens. Wanneer de risicoperceptie laag is kan die perceptie de norm gaat worden voor de gehele onderneming. De vraag of dat wenselijk is wordt nagenoeg nooit gesteld. Een kritische blik naar de persoon die zich bezig houdt met het vak én de vraag of de perceptie wel past bij de identiteit van de organisatie, is dan op z’n plaats.

Gemoedsrust
Een risicobeheerder geeft, normaliter, een onafhankelijk advies. Heeft geen belang bij feitelijke implementatie van maatregelen maar zit naast de ondernemer adviseert hem/haar in welke gevolgen een business strategische route heeft. Risicomanagement toepassen doet u op het moment dat uw organisatiedoelstellingen worden bepaald en bekrachtigd. De processen die leiden tot de betaling van de doelstellingen dienen tijdig getoetst te worden op de aanwezigheid van alle risico’s.

Indien deze acceptabel zijn (dit betekent dat de gevolgen te dragen zijn)  kan het proces in gang worden gezet. Zijn ze onacceptabel (gevolgen zijn zo groot dat continuïteit in gevaar wordt gebracht)? Dan zal de risicobeheerder de meest effectieve en efficiënte maatregelen adviseren die schijnveiligheid uitsluit en die zullen bijdragen aan het behalen van doelstellingen. Twijfel? Een audit met een beperkte scope kunt u eens mee beginnen. Denk dan bijvoorbeeld aan de kwetsbaarheden van een gebouw, digitale infrastructuur of binnen een specifiek proces. U ziet direct hoe de risicobeheerder werkt. Wanneer dit voldoende gemoedsrust oplevert, kan een volgende stap genomen worden. Zoals in kaart brengen van ingewikkelder processen.

Een aanleiding om risico gestuurd te gaan werken is risico’s te zien als kansen die verzilverd kunnen worden!