Erik van Marle – Blog over risicomanagement

www.naris.com


1 reactie

Het Coronavirus als Extern Risico beschouwd

Ik hoop dat iedereen beseft hoe moeilijk het is om als overheid een afweging te maken in de huidige situatie rondom het Coronavirus. Het is echt niet het moment om op zoek te gaan naar fouten van de beslissers!

De waarde van Experts

En laten we ons alsjeblieft niet gek laten maken! Tetlock (2005) onderzocht over een periode van twintig jaar tienduizenden voorspellingen van honderden experts. Hij beoordeelde hoe goed ze waren in het schatten van waarschijnlijkheden en of ze in staat waren specifieke uitkomsten te voorspellen. De uitkomsten waren ronduit onthutsend maar bevestigen de conclusies van een groot aantal andere studies: de gemiddelde expert deed het niet veel beter dan een “dart-throwing chimp” die altijd op het statistisch gemiddelde uitkomt. Hoe gespecialiseerder en beroemder experts waren, hoe slechter ze bovendien bleken te presteren.

Specialisatie vernauwt het blikveld en vergroot de kans op het vinden van meer bewijs en gelijkgestemden om bestaande overtuigingen en gedane voorspellingen te bevestigen. Experts vallen niet alleen ten prooi aan dezelfde cognitieve biases als ieder ander, ze blijken door het koesteren van hun bekendheid en reputatie nog gevoeliger voor het maken van verkeerde inschattingen. Als experts eenmaal in boeken, presentaties en interviews een stelling hebben ingenomen, geven ze die niet snel op. Dezelfde media verleiden hen tegelijkertijd om bijzondere, afwijkende posities in te nemen om hun aantrekkingskracht en entertainmentwaarde voor toekomstige optredens te vergroten. (Bron artikel over externe risico’s in het maandblad voor accountancy en bedrijfseconomie, juli 2018, door Bood en Postma).

Risicomanagement

Als we naar de theorie van Risicomanagement kijken geeft dit namelijk al best duidelijke richtlijnen voor de aanpak van Externe risico’s. Als je ziet waar WEF (World Economic Forum) Infectioen diseases plaatst is dit in het quadrant Hoge Impact / Lage Kans.

Global Risk Report World Economic Forum

Beheersing

Kenmerkend voor de risico’s in dit quadrant is dat de beïnvloedbaarheid heel laag is. COSO geeft al aan dat dit soort risico’s allen geaccepteerd kunnen worden als de impact klein is, anders mitigeren of continuïteitsplannen klaar hebben liggen. De voor de hand liggende beheersing is om je te focussen op het inperken van de gevolgen. De oorzaak ligt immers buiten je invloedssfeer. Volledig in lijn met wat er nu met het Coronavirus aan de hand is.

Het ‘normale proces’ in het geval van Externe risico’s:

  • Bepaal in welke mate ze de bedrijfsvoering kunnen beïnvloeden;
  • Doordenk de verschillende scenario’s; worst / normal / best case;
  • Zorg dat er plannen (op hoofdlijnen is voldoende) klaarliggen om een eerste respons te kunnen geven. Over het algemeen bewegen dit soort risico’s zich langzaam en is er dus tijd om je voor te bereiden. Dit was ook zo bij het Coronavirus voor Europa;
  • Zorg dat er een vooraf doordachte lijst met mogelijke gevolgen klaar ligt;
  • Bedenk hoe de verschillende gevolgen beperkt kunnen worden;
  • Realiseer je dat bij dit soort risico’s maatregelen eigenlijk nooit rigide genoeg kunnen zijn. Watkins en Bazerman (2003) en Kaplan en Mikes (20120 gaven al aan dat et belangrijk is om hier het voorstellingsvermogen wat op te rekken.

Een aantal andere voorbeelden waaruit al blijkt dat we niet ver genoeg kunnen gaan in het bedenken / toepassen van maatregelen:

In geval van een brand wordt er meteen worst case gedacht en direct al het personeel geëvacueerd, direct naastgelegen gebouwen natgehouden, etc.

De recente cyber attacks hebben geleerd dat het alleen helpt als je alles platlegt en van daaruit opnieuw begint met opbouwen.

De terroristische aanslagen leren ons dat alleen volledige opschaling resultaat oplevert. Het heeft geen zin om stapsgewijs een gebied af te sluiten of mondjesmaat de hulpdiensten in te schakelen.

Ik ben heel blij dat we nu alles afsluiten en zo de verspreiding hopelijk kunnen tegengaan. Het openbaar vervoer ook nog? We hebben gewoon de kennis nog niet over hoe dit virus zich verspreidt en welke impact het heeft op levens. De enige manier om verspreiding tegen te gaan is het stopzetten van vervoer / contacten tussen personen.

Een mooi voorbeeld vind ik ook de maatregel uit de UK om de meest risicovolle groep van 70+ers echt thuis in quarantaine te zetten de komende 4 weken zodat de ziekenhuizen beschikbaar blijven voor de anderen. Zo zorg je ervoor dat de vitale ziekenhuis infrastructuur voor kan blijven functioneren!

Wens

Ik hoop vurig dat we deze crisis aangrijpen om van te leren zodat wij een volgende keer dit soort risico’s nog sneller onder controle zullen hebben. Zou het ons lukken om niet weer te verzanden in de eeuwige Schuldvraag? Media help eens!


Een reactie plaatsen

Het verschil in risicomanagement bij een private en publieke organisatie!

publiek privaat

Regelmatig wordt deze vraag gesteld en iedere keer wordt er weer gegraven in mijn gestolde kennis (ervaring). Een paar overwegingen die ik met jullie wil delen zonder daar overigens nu al volledig in te willen zijn.

Publieke organisaties zijn veel meer gewend om (risico) verantwoording af te leggen over hun reilen en zeilen dan private organisaties. Waar private organisaties dit pas zijn gaan doen na de invoering van de Code Tabaksblat zit dit van oudsher al veel meer in het natuur van de publieke organisaties. Deze laatsten hebben altijd moeten functioneren met belangrijke stakeholders als gemeenten, zorgpartijen, woningcorporaties die allemaal in hetzelfde speelveld een rol hebben. In deze consternatie is verantwoording een vanzelfsprekendheid. Voor private partijen bleek de code Tabaksblat een struggle. ‘Pas toe of leg uit’ werd in het begin op verschillende wijze uitgelegd.

Private organisaties hebben de laatste jaren een flinke inhaalslag gemaakt. Daar waar veel publieke organisaties blijven hangen in de klassieke risicoparagraaf leggen private organisaties veel sterker de link tussen de performance en de daarbij behorende risico’s. In hun zogenaamde ‘sustainability reports’ gaat het erover hoe duurzaam hun strategie is en welke keuzen ze hierin gemaakt hebben. Qua risicomanagement gaat hun uitleg over hoe ze het hebben georganiseerd. Vanzelfsprekend gaan ze niet in op de risico’s en kansen die ze zien, dit is immers concurrentiegevoelige informatie. Publieke organisaties hebben ook te maken met deze gevoelige informatie maar voelen zich wel vaak verplicht deze risico’s te benoemen. Wat mij betreft niet noodzakelijk. Als stakeholder zou ik liever lezen hoe ze er voor zorgen dat de organisatie te allen tijde alert blijft!

Fraude (Imtech bijvoorbeeld) buiten beschouwing gelaten valt mij ook op dat in private organisaties risico’s veel sneller op tafel komen. Uit de vele gesprekken die ik hierover voer valt mij op dat dit hoofdzakelijk komt doordat risico’s veel sneller voor de betrokkenen relevant worden. Ze voelen veel sneller zelf de gevolgen doordat het rechtstreeks invloed heeft op resultaten. Dit in tegenstelling bij publieke organisaties. De gevolgen van risico’s worden minder persoonlijk gevoeld en doordat publieke organisaties vaak met meerjarige begrotingen werken vallen de (financiële)gevolgen vaak weg in het totaal.

Deze laatste hobbel is de grootste uitdaging. We raken hier immer de cultuur van de organisatie. Het management van een publieke organisatie zal dus veel meer moeite moeten doen om risico’s positief bespreekbaar te krijgen. De juiste vragen stellen is cruciaal.

Welke vragen stelt u?


Een reactie plaatsen

Risicomanagement draait om discipline en mentaliteit!

Vele organisaties geven hoog op over hun risicomanagement. Systemen zijn ingericht, mensen worden getraind op kennis en vaardigheden, het is onderdeel van de Planning en Control Cyclus, jaarlijks worden risicoanalyse gehouden, etc. We kennen allemaal het COSO model, de ISO 31000 norm, MOR wellicht ook nog. Aan alle vereisten wordt voldaan. Toch? geloof-in-eigen-kunnen

En we twijfelen allemaal of al deze inspanningen voldoende zijn. En bij twijfel gaan we nog meer doen / inrichten /rapporteren.

Waar draait het naar mijn mening echt om?

Discipline
Welke organisaties hebben de discipline risicobewust te handelen. Bij iedere beslissing de afweging te maken of de risico’s opwegen tegen de kansen. Staan ze in verhouding tot elkaar? Welke organisatie heeft de toewijding, het commitment om deze risicoafweging echt onderdeel uit te laten maken van iedere besluitvorming. En niet te wachten tot de volgde P&C Cyclus.

Mentaliteit
Om de discipline op te kunnen brengen is de juiste mentaliteit nodig. Risicoalertheid ontstaat als het onderdeel wordt van het denk- en gedragspatroon van de organisatie. Alleen dan bereik je dat we elkaar durven aan te spreken en erop te attenderen dat risicoalert handelen ons successen brengt. Deze mentaliteit maakt organisaties succesvol.

Systemen zijn op te zetten en te omzeilen, af te vinken. Kennis is te trainen en te vergeten. Vaardigheden zijn aan te leren en weer te vergeten. Als Mentaliteit en Discipline onderdeel zijn van het gedachtegoed van een organisatie valt er niet aan te ontkomen. Je bent onderdeel van de organisatie en anders past het niet! Rollen, verantwoordelijkheden en bevoegdheden zijn duidelijk en bespreekbaar op ieder moment.

En daarom, risicomanagement valt alleen als organisatie in z’n totaliteit te implementeren en niet ergens te beginnen en te hopen dat het overwaait.


1 reactie

Pensioenfondsen, bezint eer ge hypotheken bemint!

De berichtgeving van vandaag lijkt allemaal geweldig. Pensioenfondsen gaan massaal in hypotheken! De achterliggende gedachte is dat de banken meer ruimte krijgen om andere kredieten te verstrekken. Nu scheelt het dat de meeste banken inmiddels staatsbanken zijn maar dat roept meteen de vraag op:

Waar ligt het risico? Toch niet bij de pensioenfondsen en dus de deelnemers en dus de Nederlandse bevolking?

Kuddegedrag

Citaat Blok: ‘Pensioenfondsen krijgen een hoger rendement, de Staat neemt geen enkel nieuw risico en banken zien hun financieringskosten dalen.’

Wat als er toch nog een bank omvalt? Het zou mij vertrouwen geven als men transparant is over de risico’s die er aan kleven.

Als er iets is wat we hebben kunnen leren van SNSReaal en de daaruit vloeiende pijn is dat je niet massaal in hetzelfde risico moet stappen. We mogen nu toch wel concluderen dat alle banken achter elkaar aangelopen hebben en allemaal in vastgoed hebben geïnvesteerd in de verwachting dat deze waarde alleen maar kan stijgen. De situatie vandaag is dat alle banken hetzelfde probleem hebben, een vastgoed portefeuille waarop enorm moet worden afgeschreven.

Fouten maken mag….. alleen als je er van leert! Vertoon aub geen kuddegedrag.

Pensioenfondsen, bezint eer ge begint. Jullie hebben als taak om de pensioenen te beheren van velen. Niet om de banken uit hun zelf gecreëerde nood te helpen.


Een reactie plaatsen

Gedrag als voorspeller van toekomstige incidenten

 

Churchill

De incidenten van de afgelopen jaren (SNS Reaal, Ahold, DSB, Vestia, Rochdale, etc) hebben ons wel geleerd dat het gedrag van bestuurders zeer bepalend kan zijn voor de koers van de organisatie. De vraag is natuurlijk of die ene persoon zo bepalend kan zijn dat dit een hele organisatie in gevaar kan brengen.

Het gaat daarom niet alleen om leiderschap, het gaat ook om de groepsdynamiek die er in de lagen eronder plaatsvinden. Hoe komt besluitvorming tot stand, welke formele lijnen zijn er en welke informele lijnen. Worden alle risico’s besproken of wordt alles gesimplificeerd waardoor het cruciale gesprek niet plaatsvindt?

Als leider / bestuurder is het dus belangrijk om de juiste vragen te stellen. Wanneer de zaken goed maar zeker ook wanneer zich incidenten voordoen. De vragen die Churchill zichzelf altijd stelde waren:

  • Waarom wist ik het niet?
  • Waarom wisten mijn adviseurs het niet?
  • Waarom werd het me niet verteld?
  • Waarom heb ik er niet naar gevraagd?

Dat wat je niet weet, daar kun je ook niet naar vragen! Een diversiteit in het managementteam helpt om vanuit verschillende brillen naar de zaken te kijken. Dit legt alleen ook een grote verantwoordelijkheid in deze lagen. Wat zijn de noodzakelijke elementen wil er een gezonde bedrijfscultuur heersen dat er een gezamenlijke alertheid ontstaat om de complexiteit het hoofd te bieden?

  • Iedereen alert op verstoringen
  • Voorkom teveel simplificeren (niet alles past op een half A4 tje)
  • Secuur op de uitvoering (de machinekamer is niet zo belangrijk als de strategie)
  • Scherp op aanpassingsvermogen (wat gaat er nog zoals gepland)
  • Respect voor expertise (experts mogen zich niet laten overrulen)

Stel uzelf de vraag: wat is het aanpassingsvermogen van onze organisatie?


1 reactie

Riskappetite, wat is het en wat kun je ermee?

Het is crisis en dus stellen steeds meer organisaties ons de vraag of het nodig is om hun riskappetite vast te stellen. Uit de vele vragen maak ik op dat nog maar weinig organisaties dit expliciet hebben gedaan. Men is wel gewend om naar externen te laten zien hoeveel risico men genomen heeft, hoe dit zich verhoudt tot bepaalde kerncijfers maar vooraf hier duidelijkheid over geven is nieuw!

Toch kan het heel veel waarde toevoegen.

Riskappetite

Aan aandeelhouders, toezichthouders, investeerders, financiers, etc. Hoe prettig is het als je vooraf weet hoeveel risico een organisatie bereid is om te nemen. Een organisatie is namelijk niet innovatief als het op heel veel kansen inzet, maar als het de juiste kansen pakt en deze tot een succes weet te maken. Zowel financieel als operationeel is er gewoon een grens aan het aantal kansen (lees riskappetite) dat je kunt oppakken.

Een mooi overzicht dat ik veel gebruik is hier rechts afgebeeld. Het geeft mooi aan dat je eerst kijkt naar het ‘risk universe’. Hoeveel risico lopen we? Daarna bepaal je hoeveel risico je kunt lopen (risk tolerance)? En tenslotte kom je overeen hoeveel risico je als organisatie wilt lopen. Er zijn immers meerdere kansen en je wilt niet op 1 paard wedden.

Waar relateer je het riskappetite aan? Dit kan zijn een % van de grootste of meest ingewikkelde balansposten, maar ook een % van bepaalde posten uit de winst en verliesrekening. Voor iedere organisatie kunnen eigen criteria gelden.

Mijn overtuiging is dat goede communicatie over het  riskappetite dat je wilt aangaan als organisatie je niet alleen helpt intern in bewustzijn maar ook extern in het behalen van je doelstellingen.