Michel Klompmaker
We spraken onlangs met Frank Walraven, oprichter van FullyinControl over het onderwerp risicomanagement als onderdeel van performance management en hoe je risicomanagement op de agenda krijgt bij de top van een organisatie. Walraven stelt dat risicomanagement als onderdeel van performance management meer resultaat oplevert. Frank is al meer dan 25 jaar werkzaam in de wereld van software ontwikkeling en daarom gaan we in dit interview met hem het gesprek aan over de plaats van risicomanagement in de organisatie.
Allereerst iets over performance management. Het woord spreekt voor zich, maar wat bedoel je daar precies mee?
Frank Walraven: «Performance management richt zich allereerst op de kritieke succes factoren, ook wel afgekort KSF’s genoemd. Die zijn bepalend voor het behalen van je doelen die afgeleid worden van de strategie. Er zijn natuurlijk (nieuwe) projecten die opgestart worden en die moet je langs de lat leggen van doelstellingen van de onderneming of organisatie. Daar komen de KPI’s de Key Performance Indicatoren om de hoek kijken. Deze geven aan in hoeverre de gewenste verandering lukt, of dat er bijgestuurd moet worden. En dit alles is gericht op een lerende organisatie en succes. Ik verzeker je dat organisaties die dit proces goed beheersen vaak succesvoller zijn dan hun concurrenten en / of collega organisaties.»
Maar we hebben wel te maken met mensen en die hebben vaak een eigen wil zoals je weet. Hoe ga je dat dan regelen?
Frank Walraven: «Performance management levert vooral op als het op een positieve manier in een organisatie wordt geïmplementeerd en dus niet als instrument wordt ingezet met als doel om mensen af te rekenen en te straffen. In dat geval werkt het niet als een hulpmiddel dat stimuleert om te leren en te verbeteren. Krijg je op je donder als iets volgens de dashboards niet goed is gegaan, dan loop je het risico dat medewerkers meer aandacht gaan besteden aan het mogelijk manipuleren van gegevens. Met als gevolg dat de resultaten er beter uitzien, of erger nog gewoon niet kloppen. Soms worden de slechte resultaten dan verweten aan een ander. Medewerkers die op deze manier hun aandacht besteden om zich in te dekken zijn eerlijk gezegd een gevaar voor de organisatie. Het is de kunst bij succesvol performance management om een cultuur te creëren waarbij je met zijn allen een wedstrijd wilt winnen als team. Op het scorebord zie je hoe je ervoor staat. Je wilt als team de belangrijke organisatie doelstellingen halen, omdat het leuk is om te winnen. Daarbij moet je wel regelmatig gestructureerd je spel analyseren. Fouten en slechtere resultaten worden niet afgestraft, maar worden geanalyseerd om er van te leren en bij te sturen. Zo onderzoekt en leert men hoe het een volgende keer beter moet gaan.»
Wat heeft dat nu met risicomanagement te maken?
Frank Walraven: «Risicomanagement is nu nog vaak een geïsoleerde activiteit met weinig management aandacht. Vaak is risicomanagement zo ingericht om te kunnen voldoen aan wet- en regelgeving. Je moet als organisatie immers kunnen aantonen dat je compliant bent. Een verplichting, die je misschien liever niet uitvoert. Bij menige organisatie is de risicomanager de «boeman» die één keer per maand of kwartaal slecht nieuws komt brengen en vertelt wat er allemaal mis kan gaan. Het topmanagement is liever bezig met de business en het behalen van de doelstellingen van de organisatie en de topmanagers willen dan ook het liefst hun aandacht daar zoveel mogelijk aan besteden, logisch. Wat soms vergeten wordt is dat risico’s hier echt roet in het eten kunnen gooien als het risico werkelijkheid wordt. Ik noem als voorbeelden een grote brand, negatieve publiciteit en als laatste voorbeeld aansprakelijkheidsclaims die opeens op klaarlichte dag door een deurwaarde afgeleverd worden in de vorm van een dagvaarding. Deze gebeurtenissen kunnen alle mooie initiatieven om de doelstellingen te halen te niet doen. Daarom is het goed om er toch even bij stil te staan. Zeker nu in onze steeds sneller veranderende wereld. De noodzaak om de risico’s regelmatig via een gestructureerde aanpak te analyseren en indien noodzakelijk te mitigeren lijkt me dus duidelijk. Dit alles om te voorkomen dat het slecht afloopt met de organisatie.»
Kun je iets zeggen over hoe dat dan in de praktijk gaat?
Frank Walraven: «Door risico’s aan doelstellingen te koppelen en inzichtelijk te maken wat de invloed van de risico’s op de doelen kan zijn, maakt het risicomanagement direct veel belangrijker. Het wordt opeens een onderdeel van het ondernemingsspel. Pak je risicomanagement integraal met performance management op dan wordt het ineens als instrument gezien om een organisatie aan te sturen. Je kijkt wat je moet stimuleren en wat je moet afweren wil je de organisatiedoelstellingen halen en op de langere termijn succesvol blijven. Ook hebben de risico’s die een grote invloed hebben op je belangrijkste doelstellingen meer urgentie om aan te pakken dan andere risico’s. Vanuit deze insteek gaat risicomanagement meer leven. Het is dan geen geïsoleerde activiteit meer, die ergens separaat in de organisatie wordt uitgevoerd.»
Maar hoe krijg je het op de agenda van het topmanagement?
Frank Walraven: «Uit hetgeen ik hierboven gezegd heb vloeit voort dat risicomanagement onderdeel moet worden gemaakt van het performance management. De aanpak is vergelijkbaar en ze vullen elkaar perfect aan. Zo ontstaat er door de integratie een robuuster management systeem. Risicomanagement wordt positiever ervaren en is ook gericht op het behalen van de organisatie doelstellingen. Bij performance management richt je je op die initiatieven die de Kritieke Succes Factoren (KSF’s) die bepalend zijn voor het behalen van je doelstellingen echt versterken. Met risicomanagement vul je dit aan met aandacht voor die risico’s die tevens een belangrijke invloed kunnen hebben op het behalen van je doelstellingen indien ze optreden. Alleen nu neem je maatregelen, projecten waarmee je de kans op een risico gebeurtenis verkleint. Mocht het toch zich voordoen, dan ben je beter voorbereid en wordt de schade zoveel mogelijk beperkt. Je definieert vervolgens Key Risk Indicatoren (KRI’s) waarmee je monitort in hoeverre je maatregelen op orde en (nog) effectief zijn. De volgende stap is om bij het strategisch en performance management proces direct de risico’s mee te nemen. Ieder initiatief, bijvoorbeeld het verkorten van de doorlooptijd om een product sneller te kunnen leveren heeft ook risico’s. Zoals het afnemen van de kwaliteit, omdat er door de snelheid meer fouten kunnen worden gemaakt. Initiatieven om een doelstelling waar te maken kun je dus koppelen aan maatregelen om de risico’s op eventuele negatieve gevolgen van een initiatief aan te pakken. Deze integratie van risicomanagement binnen performance management wordt ook wel «Succes Management» of «Risk Based Performance Management» genoemd.»