Risicocultuur: van de bedoeling naar betekenisvol risicomanagement

Ontwikkelingsmodel van risicomanagement in organisaties

In onze visie is een ontwikkelingsmodel aanvullend op zogenaamde volwassenheidsmodellen. Daar waar volwassenheidsmodellen vooral gebruikt worden vanuit een procesmanagement perspectief geeft een ontwikkelingsmodel een meer holistische benadering op de ontwikkeling van het vak an sich. De Nederlandsche Bank (DNB) heeft bijvoorbeeld een volwassenheidsmodel waarmee financiële instellingen hun volwassenheid van risicomanagement kunnen bepalen. In elke stap naar een hoger niveau van volwassenheid wordt meestal expliciet gewerkt aan de systeemkant van risicomanagement, terwijl impliciet de menskant van risicomanagement (inclusief risicorendementscultuur) wordt versterkt. Met ons ontwikkelingsmodel willen wij expliciteren hoe de menskant van risicomanagement kan worden versterkt. Hierdoor wordt de betekenis van risicomanagement in een organisatie doorleefd.

Om als pensioenfonds uw visie op communicatie in de praktijk te brengen is inzicht nodig in de informatiebehoefte van deelnemers. Welke vragen leven er bij deelnemers? Welke deelnemers(groepen) hebben deze vragen? En via welk medium zoeken zij naar informatie? Deze inzichten kunnen het pensioenfonds helpen het communicatieplan vorm te geven en uit te voeren. In de praktijk horen wij onder andere de volgende vragen:
Ons ontwikkelingsmodel beschrijft drie typische ontwikkelingen die in een organisatie te herkennen zijn: begrip, bedoeling en betekenis. Belangrijk om te vermelden is dat dit geen normatief kader is; het is een perspectief op de ontwikkeling van risicomanagement in een organisatie. Hoewel de drie ontwikkelingen elkaar in de praktijk vaak opvolgen in de gepresenteerde volgorde, kunnen het startpunt en de volgorde van de ontwikkelingen verschillen. Ook is het mogelijk dat verschillende ontwikkelingen parallel lopen. De behoefte van de organisatie bepaalt de manier waarop de ontwikkelingen worden toegepast. In onderstaand overzicht zijn de ontwikkelingen begrip, bedoeling en betekenis nader toegelicht.

In ‘Holistisch Risicomanagement: Risk & Reward Management voor een nieuw governance tijdperk’ beschrijft Vijay Gangadin dat het vak risicomanagement op zichzelf al een ontwikkeling heeft doorgemaakt van een ‘calculatie logica’ naar een ‘rationele logica’ en dat de volgende ontwikkeling de ‘opportuniteiten logica’ is. Een kenmerkend verschil tussen deze vormen van logica is onder andere de typering van de cultuur. De calculatie logica, rationele logica en opportuniteiten logica worden respectievelijk gekoppeld aan een ‘numerieke risicocultuur’, een ‘niet-reflecterende risicocultuur’ en een ‘zelfreflecterende risicocultuur’ waarmee een ‘zelfverbeterende organisatie’ wordt gerealiseerd.

Begrip
Grofweg gaat begrip als ontwikkeling gepaard met wat Gangadin de numerieke risicocultuur noemt. De organisatie heeft een eerste kennismaking met risicomanagement. Risicomanagement is dan vooral gericht op het meetbaar maken van risico’s, langs het veelgebruikte begrippenpaar kans en impact. Risico’s worden op zichzelf beoordeeld. Vaak ontstaat daarmee een focus op de risico’s die – door een hoge score – numeriek het meest in het oog springen.

Bedoeling
In de ontwikkeling van bedoeling is de niet-reflecterende risicocultuur te herkennen omdat de organisatie vooral bezig is met het implementeren van risicomanagement, met eigenaarschap breed in de organisatie. Er is dan nog geen sprake van een risicomanagementcyclus die al meermaals volledig is doorlopen. Bovendien ontbreekt vaak nog een volledig uitgewerkt risicoprofiel (met name een expliciete risicohouding, risicobereidheid en risicotolerantie) die essentieel is om reflectie betekenisvol te maken.

Betekenis
Daarmee komen we bij de ontwikkeling van betekenis. Cruciaal in deze ontwikkeling is het expliciteren van risicohouding, risicobereidheid en risicotolerantie [bron 1]Deze zijn benoemd als ‘de drie elementaire eenheden’ van risicomanagement in ‘Risicomanagement: sympathieën of antipathieën?’ – inclusief koppeling aan de missie, visie en strategie van de organisatie. Hierdoor staat het wegen van individuele risico’s niet langer centraal; de menskant van risicomanagement komt centraal te staan in besluitvorming en bedrijfsvoering vanuit risicorendementsdenken. Dit krijgt concreet vorm in een expliciet normenkader waarlangs bestuurders en medewerkers afwegingen over risico en rendement toetsen. Dit wordt in de risicomanagementcyclus consequent uitgevoerd en doorleefd. Dit biedt betekenisvolle zelfreflectie omdat het bewustzijn ontstaat dat hetzelfde risico vanuit een risicozoekend of risicomijdend normenkader tot een andere risicobeheersing leidt en dat hiermee uiteindelijk de legitimiteit van de organisatie kan worden versterkt.

In het vervolg van dit artikel gaan wij dieper in op risicorendementscultuur als bouwsteen voor betekenisvol risicomanagement. Wij geven een begrippenkader waarlangs de dialoog over risicorendementscultuur in een organisatie kan worden gevoerd, zodat de waarde van risicomanagement voor de besluitvorming en bedrijfsvoering wordt versterkt. Wij starten met de relevantie van cultuur in een organisatie.

Relevantie van cultuur in een organisatie
Ben jij in staat om in enkele kernwoorden de cultuur (de manier waarop dingen doorgaans worden gedaan) van je organisatie te beschrijven? Als ik terugdenk aan mijn studentenbaantje komt bij mij als eerste op: ‘Koffie? Gezellig!’ Wellicht niet ieders eerste associatie bij een herenmodewinkel, in mijn beleving wel de ultieme symboliek van de cultuur die we als verkopers onder de bezielende leiding van onze manager creëerden. ‘Koffie? Gezellig!’ was niet zomaar een standaard openingszin. Het was een uiting van een unieke attitude gericht op plezier hebben met elkaar. Samen koffiedrinken bracht gesprekken op gang en zorgde voor sfeer en een aangename werkdag.

Hierbij zijn vier zaken cruciaal:

1. Legitimiteit. Bestaansrecht behouden door het geloofwaardig uitstralen van de focus op een gezellige interactie, die maakt dat klanten graag naar de winkel blijven komen (continuïteit).
2. Inzicht. De manager was zich terdege bewust dat de attitude die schuilde achter ‘Koffie? Gezellig!’ cruciaal was voor het succes van de winkel en maakte dit ook expliciet in teamoverleggen.
3. Sturing. De manager spoorde het team daarom voortdurend aan om vast te houden aan de attitude: ‘Heb je hem al koffie aangeboden?’
4. Attitude. De kracht zit niet in de woorden ‘Koffie? Gezellig!’ maar in de houding van de mensen die deze woorden met een intrinsieke motivatie uitspreken.

Gaandeweg hebben we door deze vier begrippen kennis gemaakt met LISA (Legitimiteit, Inzicht, Sturing, Attitude). LISA is de verpersoonlijking van de relevantie van een organisatiecultuur. Net als een adequate strategie is het voor de legitimiteit van organisaties cruciaal dat de organisatiecultuur niet een obstakel is, maar een facilitator. Zoals de gevleugelde uitspraak luidt: ‘Culture eats strategy for breakfast’. Oftewel, een solide strategie kan teniet worden gedaan als deze wordt tegengewerkt door de cultuur in een organisatie. Cultuur is bepalend voor de beslissingen die worden genomen en de manier waarop mensen samenwerken. Omdat risicomanagement bij uitstek gaat over de manier waarop mensen tot beslissingen komen, is het cruciaal om risicomanagement vanuit het perspectief van cultuur te bekijken.

Relevantie van risicorendementscultuur
Organisatiecultuur en risicorendementscultuur slapen op hetzelfde kussen. De wijze waarop medewerkers in het algemeen met hun werk omgaan – hun gedrag, hun attitude, hun waarden en normen – reflecteren zich vaak in de wijze waarop wordt omgegaan met afwegingen van risico en rendement. Met name in de scope is een onderscheid te maken tussen organisatiecultuur en risicorendementscultuur. In beide gevallen zijn we geïnteresseerd in de culturele aspecten van een organisatie, en in het geval van risicorendementscultuur zijn we met name benieuwd naar de culturele aspecten die bepalend zijn voor de werking van het risicomanagement.

Dit werkt dus door in de besluitvorming en in de bedrijfsvoering. Door structurele aandacht voor de gevoelens en gedragingen ten opzichte van risico en rendement en gevolgen hiervan, verwerft een organisatie inzicht en de mogelijkheid tot sturing. En cruciaal: hierdoor wordt de attitude steeds gevoed en versterkt.

Een zwakke risicorendementscultuur uit zich als in een organisatie de toegevoegde waarde van risicomanagement niet wordt ervaren. Dit kan het gevolg zijn van een gebrek aan intrinsieke motivatie, bijvoorbeeld als de implementatie van risicomanagement vooral wordt gezien als een ‘verplicht nummer’. Er is dan sprake van een negatieve spiraal waarin een gebrek aan motivatie tot teleurstellende resultaten leidt en de motivatie verder doet afnemen.

1-3-7

Om risicorendementscultuur in te bedden in de organisatie hanteren wij de 1-3-7 aanpak, wat niet zomaar een getallenreeks is. Er zijn bottom-up bezien zeven kernaspecten, de essentie bestaat uit drie kernbegrippen en LISA is de verpersoonlijking van de relevantie.

Voordat wij de essentie en kernelementen van risicorendementscultuur verder uitwerken, stellen we eerst een reflectievraag: is in jouw organisatie sprake van risicobewustzijn door expliciete inzichten en sturing op doelmatig risicomanagement, vanuit het fundament van intrinsieke motivatie?

Essentie van risicorendementscultuur
Zowel organisatiecultuur als risicorendementscultuur zijn complexe fenomenen, waarvoor velerlei perspectieven, modellen en concepten kunnen worden onderscheiden. Om de term risicorendementscultuur terug te brengen tot de essentie gebruiken wij drie kernbegrippen. Niet om de complexe werkelijkheid te omzeilen maar om deze terug tot de kern te brengen.

Om conceptueel de essentie van risicorendementscultuur te vatten, zijn drie begrippen cruciaal:

1. Gevoel. De gevoelens die kenmerkend zijn voor het denken over risico versus rendement en de ideeën over de doelmatigheid van risicomanagement.
2. Gedrag. Het beslissen over afwegingen tussen risico en rendement en/of dit tot uitvoering brengen.
3. Gevolg. Individuele en collectieve gevoelens en gedragingen bepalen de doelmatigheid (van risicomanagement) in een organisatie.

Deze drie begrippen geven een denkkader om bepaalde patronen in kaart te brengen. Die patronen kunnen vervolgens verder worden onderzocht en geduid.

Als risicomanagement wordt geïmplementeerd zonder daarbij de strategie als uitgangspunt te nemen, kan dit bijvoorbeeld aan bestuurders en medewerkers van een organisatie het gevoel geven dat risico’s altijd zo veel mogelijk moeten worden verkleind. Daarbij hoort voorzichtig gedrag en het genereren van een veelvoud aan beheersmaatregelen en uitgebreide programma’s om de werking daarvan vast te stellen. Het gevolg is vaak een focus op risicobeheersing zonder dat dit een meerwaarde oplevert voor het realiseren van strategische doelstellingen. Er wordt dan volledigheid nagestreefd terwijl er vooral relevantie moet worden gerealiseerd.

Een reflectievraag: welke patronen van gevoel-gedrag-gevolg zie jij in het risicomanagement van jouw organisatie?

Om echt als team doelmatig risicomanagement uit te voeren is het essentieel dat er inzicht is in gevoel, gedrag en gevolg – en dat hierover dialoog plaatsvindt. Dit begint aan de bestuurstafel, met drie perspectieven om jouw ‘voice of risk’ te laten horen;

1. Bestuurder (ik-perspectief). Welke grondhouding heeft een individueel bestuurslid bij risico versus rendement, welk gedrag hoort daarbij en wat heeft dat tot gevolg?
2. Bestuur (wij-perspectief). Hoe verhouden de individuele grondhoudingen en gedragingen zich tot elkaar en wat heeft dat tot gevolg (boardroom dynamics)?
3. Besturing (organisatieperspectief). Met welke principes en normen (risicohouding, risicobereidheid, risicotolerantie – met een verankering in de missie, visie en strategie) wil het bestuur richting geven aan de afwegingen over risico en rendement in de organisatie?

Bij het laatste perspectief hoort ook de borging van het normenkader in de besluitvorming en in de (dagelijkse) bedrijfsvoering van de organisatie. Daarom is het cruciaal dat in besluitvormingsprocessen en rapportages expliciet wordt gemaakt hoe de besluitvorming en de bedrijfsvoering voldoen aan het normenkader. Ook is het de verantwoordelijkheid van het bestuur om te zorgen dat er een risicorendementscultuur is die bijdraagt aan naleving van het normenkader. Het bepalen van het normenkader maakt ook duidelijk dat ‘one size fits all’ niet bestaat bij de toepassing van risicorendementscultuur. Er dient altijd rekening gehouden te worden met een invulling van het normenkader dat past bij de mensen, de strategie en de omvang van een organisatie. Overigens is het ook belangrijk om je te realiseren dat daar waar mensen een organisatie verlaten en/of er nieuwe mensen in de organisatie toetreden, er een impact op de risicocultuur kan worden verwacht.

Voordat wij ingaan op de kernelementen van risicorendementscultuur eerst een reflectievraag: wordt risicomanagement in jouw organisatie benaderd vanuit de perspectieven bestuurder, bestuur, besturing?

Kernelementen van risicorendementscultuur
Eerder stelden wij de reflectievraag: welke patronen van gevoel-gedrag-gevolg zie jij in jouw organisatie? Hier zijn talloze antwoorden op te geven, die van groot of klein belang kunnen zijn. Zonder de pretentie van volledigheid willen wij, aanvullend op de relevantie en essentie van risicorendementscultuur, een zevental kernelementen benoemen.

1. Risico-overtuiging. Welke overtuigingen leven in de organisatie als het gaat om afwegingen van risico en rendement – en welke overtuigingen domineren?
2. Groepsdynamiek. Hoe gedragen verschillende leden van de groep zich ten opzichte van elkaar? Welke gewoontes zijn typisch voor de groepsdynamiek in de organisatie?
3. Leiderschap. Welke bijdrage leveren de formele en informele leiders aan de risicorendementscultuur?
4. Veilige, open en eerlijke omgeving. Voelen mensen in de organisatie zich veilig om open en eerlijk hun gedachten uit te spreken?
5. Beloning en waardering. Wordt gewenst gedrag expliciet gewaardeerd of worden juist perverse prikkels beloond?
6. Lerend vermogen. Worden mensen in staat gesteld om te reflecteren op hun eigen gedrag en de keuzes die gezamenlijk worden gemaakt, en wordt waar nodig bijgestuurd?
7. Beleidsvervreemding. Is er intrinsieke motivatie voor uitvoering van beleid omdat er een geloof is in de uitgangspunten? Of staan de uitgangspunten juist zo ver af van de principes en belevingswereld van diegenen die het moeten uitvoeren, waardoor beleidsvervreemding ontstaat?

Inzicht in deze kernelementen biedt ook mogelijkheden tot sturing. Als bijvoorbeeld sprake blijkt van beleidsvervreemding, kunnen de onderliggende oorzaken worden onderzocht en verholpen. Daarbij kunnen relaties bestaan met andere kernelementen. Zo zou het kunnen zijn dat een organisatie het informeel leiderschap nog onvoldoende heeft benut om in de hele organisatie voor risicobewustzijn te zorgen en daarmee het draagvlak voor het risicomanagementbeleid te vergroten. Of er is sprake van een onveilige omgeving waardoor men inhoudelijke kritiek op het risicomanagementbeleid niet op tafel durft te leggen. Wordt het eerlijk benoemen van tekortkomingen gewaardeerd of juist de kop ingedrukt (en daarmee het lerend vermogen van de organisatie belemmerd)?

Reflectie
In dit artikel hebben wij eerst stilgestaan bij het ontwikkelingsmodel waarbij begrip, bedoeling en betekenis van risicomanagement de ontwikkeling van risicomanagement in een organisatie beschrijven. Wij hebben daarbij opgemerkt dat risicomanagement betekenis krijgt door de menskant van risicomanagement centraal te stellen. Een expliciete uitwerking van de risicorendementscultuur van een organisatie is daarbij van belang.

Om risicorendementscultuur concreter te maken hebben we kennis gemaakt met LISA: de begrippen Legitimiteit, Inzicht, Sturing en Attitude maken de relevantie van risicorendementscultuur duidelijk. Vervolgens is toegelicht dat gevoel, gedrag en gevolg de essentie vormen van risicorendementscultuur. Ook gingen wij in op de zeven kernelementen waarmee risicorendementscultuur verder kan worden geconcretiseerd: Risico overtuiging, groepsdynamiek, leiderschap, veilige, open en eerlijke omgeving, beloning en waardering, lerend vermogen en beleidsvervreemding.

De zeven kernelementen, de drie begrippen die de essentie vormen en LISA als verpersoonlijking van de relevantie vormen samen de getallenreeks 1-3-7. In samenhang geeft dit handvatten om de dialoog over risicorendementscultuur in een organisatie te voeren. Het is met name de verantwoordelijkheid van het bestuur en de risicomanagementfunctie van een organisatie om via deze dialoog te faciliteren dat het denken over risico en rendement waarde oplevert en wordt gewaardeerd. Hoe vaak staat risicorendementscultuur op de agenda bij jouw organisatie?

Wilt u meer weten over dit onderwerp, neem dan contact op met Leendert de Rijke.