In veel (publieke en private) organisaties staan controllers vóór het risicomanagement - letterlijk en figuurlijk. Ten eerste omdat hun afdeling verantwoordelijk is voor de opzet en werking van interne risicobeheersings- en controlesystemen. En ten tweede omdat ze door hun opstelling — vaak onbewust en onbedoeld — het uitvoeren van risicomanagement in de rest van de organisatie kunnen belemmeren. Hoe hiermee om te gaan? Dit kan door als controller actief de rol van risicoleider op je te nemen.
Verantwoordelijkheid
In hedendaagse organisaties werken verschillende typen controllers met uiteenlopende functietitels, taken en verantwoordelijkheden. Die zijn niet altijd even helder, maar vaak wel complementair. De concerncontroller, eindverantwoordelijk voor de planning- en controlcyclus binnen de organisatie, fungeert als sparringpartner van het bestuur of de directie. De businesscontroller kun je zien als een toekomstgerichte 'kritische vriend' van managementteams; deze ondersteunt bij de implementatie van strategische keuzes. De verantwoordelijkheid voor financiële rapportages en stuurinformatie ligt bij de eerste: de financial controller.
Gezamenlijk staan deze controllers voor een doeltreffend, doelmatig en rechtmatig gebruik van de financiële middelen van de organisatie. Interne risicobeheersings- en controlesystemen zouden hen daarbij moeten ondersteunen. Maar om die systemen goed te laten functioneren, is actuele en relevante risico-informatie nodig vanuit de organisatie. En juist bij die input wringt het nogal eens.
Iedereen risicoleider
In 2017 verscheen het sterk aangepaste COSO-ERM-raamwerk voor risicomanagement. Deze internationale standaard wordt veel gebruikt bij grotere Nederlandse bedrijven en overheidsinstellingen. Het document leest als één groot pleidooi voor het integreren van risicomanagement in alle activiteiten en processen van de organisatie.
Een veelzeggend citaat: 'Integrating enterprise risk management with business activities and processes results in better information that supports improved decision making and leads to enhanced performance.' Volgens het COSO-raamwerk betekent dit dat iedereen in de organisatie risicomanager zou moeten zijn. Een opvatting die elders in een organisatie nogal eens de wenkbrauwen doet fronsen: daar hebben we toch aparte risicomanagers of op z’n minst controllers voor?
Je kunt dit dan ook beter interpreteren als: van iedereen risicomanager naar iedereen risicoleider. Risicoleiderschap tonen betekent niets anders dan doelgericht omgaan met risico’s in dat wat je al doet.
In tegenstelling tot een risicomanager of controller is een risicoleider geen functie, maar een rolmodel. De kern is expliciet, realistisch en gestructureerd omgaan met onzekerheden, risico’s en kansen, om zo bij te dragen aan het realiseren van organisatiedoelen.
Verdediging of verantwoording
Naast de opvatting dat omgaan met risico’s iedereen in de organisatie aangaat, bevat de vernieuwde COSO-ERM-benadering nog een opvallende wijziging. 'Three lines of defence', de naam van een veelgebruikte structuur voor risicobeheersing, is veranderd in 'three lines of accountability'. De focus verschuift daarmee van het verdedigen tegen risico’s naar het afleggen van verantwoording over hoe met risico’s wordt omgegaan.
Die verantwoordelijkheid ligt nadrukkelijk bij de eerste lijn: de lijnorganisatie, businessunits of afdelingen. Daar ligt immers ook de verantwoordelijkheid voor het realiseren van de organisatiedoelen, die door optredende risico’s kunnen worden beïnvloed.
De tweede lijn — bijvoorbeeld de afdeling bedrijfsvoering met de controllers — faciliteert de eerste lijn hierbij. De auditors in de derde lijn ten slotte monitoren dit proces en doen suggesties voor bijsturing en aanpassing van de risicomanagementprocessen.
Faciliteren
In deze benadering van risicoverantwoordelijkheden, en daarmee risico-eigenaarschap, is het essentieel dat controllers hun rol beperken tot het faciliteren van risicomanagement. Ze moeten dus niet in de valkuil stappen van het zelf uitvoeren ervan; dat ligt immers bij de lijnorganisatie.
Hetzelfde geldt voor risicomanagers en risicocoördinatoren. Ook zij zouden zich moeten beperken tot een louter faciliterende rol, waarbij ze uiteraard hun expertise over effectieve risicomanagementprocessen kunnen inzetten.
Voorbeeldrol
Wat betekent dit allemaal voor controllers? Dat zij de rest van de organisatie niet (onbedoeld of onbewust) voor de voeten lopen door de uitvoering van risicomanagement over te nemen. Maar wat dan wel? Dat zij de units en afdelingen in de eerste lijn helpen, faciliteren en ondersteunen bij het effectief omgaan met risico’s in hun dagelijkse werkzaamheden.
Daarbij zijn bepaalde vaardigheden voor risicoleiderschap essentieel; vaardigheden die controllers zichzelf trouwens kunnen aanleren. Zo kunnen controllers als risicoleider een voorbeeldrol vervullen voor de rest van de organisatie. Daarnaast kunnen zij directieleden, managers en inhoudelijke professionals helpen om zich die vaardigheden ook eigen te maken.
Op die manier ontstaat stap voor stap een organisatie waarin iedereen risicoleiderschap toont. Zodat de organisatiedoelen worden gerealiseerd, ondanks de dynamiek en onvoorspelbaarheid waarmee veel publieke en private organisaties te maken hebben.
| Risicomanager | Risicoleider |
| • Doet aan risicomanagement | • Werkt risicogestuurd |
| • Heeft risico's als focus | • Heeft doelen als focus |
| • Objectiveert en kwantificeert | • Subjectiveert en kwalificeert |
| • Beheerst risico's | • Gaat om met risico's |
| • Benut modellen | • Benut processen |
| • Heeft een staffunctie | • Is een rolmodel |
Figuur 1 toont de verschillen tussen de traditionele risicomanager — met taken die vaak door de controller worden uitgevoerd — en een hedendaagse risicoleider. Die risicoleider werkt risicogestuurd, met het realiseren van doelen als centrale focus. Risico’s worden gesubjectiveerd, waarbij verschillen in risicoperceptie bespreekbaar worden gemaakt.
Omgaan met risico’s betekent ook dat je risico’s bewust kunt accepteren of zelfs opgezoeken om de organisatiedoelen te bereiken. Een risicoleider integreert dit in bestaande processen en activiteiten. Hij of zij vervult deze rol als onderdeel van de eigen functie (bijvoorbeeld controller).
Risicoleider worden
Hoe word je een risicoleider? En is dat iedereen gegeven of vraagt het een speciaal, aangeboren talent? Het is inderdaad iedereen gegeven en er is geen specifiek talent voor nodig. Hoewel de ene persoon er natuurlijk wel meer aanleg voor heeft dan de andere. Maar ieder die daartoe bereid is, kan in een organisatie risicoleiderschap ontwikkelen — dus ook een controller.
Basisbehoeften
Voor het ontwikkelen van risicoleiderschap is persoonlijke verdieping een voorwaarde. Alleen zo krijg je inzicht in onze psychologische behoefte aan geborgenheid, autonomie en erkenning. Het probleem is dat deze basisbehoeften voortdurend met elkaar in conflict zijn.
Bij geborgenheid draait het om veiligheid en dus het vermijden van onzekerheden en risico’s. Autonomie betekent vrijheid, wat juist vaak gepaard gaat met het nemen van risico’s. En bij erkenning gaat het om de balans tussen jezelf onderscheiden en tegelijkertijd verbonden blijven met anderen in de organisatie (zoals collega-controllers, het management en inhoudelijke professionals).
Deze basisbehoeften sturen in belangrijke mate je gedrag bij het omgaan met onzekerheden, risico’s en kansen. Vaak is dit onbewust gedrag, maar met wat oefening kun je je er wel degelijk bewust van worden.
De persoonlijke ontwikkeling van risicoleiderschap begint dus met het herkennen en erkennen van je psychologische basisbehoeften, en wat dat in de werkpraktijk betekent voor het omgaan met onzekerheden en risico’s (maar ook kansen). Vervolgens kun je anderen hiermee helpen.
Executieve vaardigheden
Margriet Sitskoorn, hoogleraar klinische neuropsychologie, doet al jaren onderzoek naar vaardigheden die nodig zijn om succesvol te functioneren in een dynamische, onzekere, complexe en ambigue werkomgeving. De prefrontale hersenschors (ofwel het executieve brein) blijkt daarbij essentieel te zijn.
Samen met de bijbehorende netwerken is dat verantwoordelijk voor je executieve vaardigheden. Denk aan het richten, vasthouden, verdelen en loslaten van aandacht. Andere executieve vaardigheden zijn het reguleren van emoties en het onderdrukken van impulsen in een omgeving vol verleiding. Ook flexibel omgaan met onverwachte veranderingen behoort hiertoe. Zulke vaardigheden vormen de basis voor risicoleiderschap.
Zelf trainen
Het leuke is dat je die vaardigheden zelf kunt trainen, net zoals je doet met je spieren in de sportschool. Bijvoorbeeld met meditatietechnieken en door jezelf regelmatig bloot te stellen aan een verrijkende, stimulerende omgeving (zoals de natuur of een museum). Een goede nachtrust is ook belangrijk.
Hersenscans tonen aan dat de structuur van het brein hierdoor echt verandert. Zo ontwikkel je een basis voor de specifieke vaardigheden die risicoleiders nodig hebben. Die kunnen worden ingezet bij bestaande werkzaamheden, zoals het doorlopen van een planning- en controlcyclus.
In figuur 2 zie je de gangbare risicostappen binnen een PDCA-cyclus: jaarplannen van afdelingen maken met doelen en KPI’s ('plan') en uitvoering van die plannen ('do'). Met aansluitend kwartaal- of maandrapportages waarin de voortgang wordt geëvalueerd en bijgestuurd ('check' en 'act').
Als voorbeeld bevat de figuur zes vaardigheden voor risicoleiderschap, waaraan je in de verschillende fasen van de planning- en controlcyclus specifiek aandacht kunt besteden. Bij de vaardigheid doelen/leiden/maken zijn dat bijvoorbeeld onderscheid maken tussen doelen en wensen en het verbinden van doelen op verschillende organisatieniveaus (inclusief risico’s en kansen).
Om scherpe keuzes te kunnen maken, zijn een heldere missie en visie onontbeerlijk, evenals duidelijke kaders (zoals de risicobereidheid van de organisatie). Ook bewuste, onderbouwde en uitlegbare keuzes over eventuele risicobeheersmaatregelen horen daarbij.
Tot besluit
Zoals gezegd, staan controllers in organisaties (zowel publiek als privaat) vaak vóór het risicomanagement. Omdat hun afdeling verantwoordelijk is voor de opzet en werking van interne risicobeheersings- en controlesystemen. En vanwege hun eigen opstelling, waardoor zij het uitvoeren van risicomanagement in de rest van de organisatie kunnen belemmeren.
Hoe hiermee om te gaan? Je kunt beginnen door als controller de rol van risicoleider op je te nemen. Dat begint met een integrale benadering van risicomanagement binnen de organisatie. Omgaan met risico’s is dus een verantwoordelijkheid van iedereen, niet alleen van controllers en hun afdeling.
Het eigenaarschap ligt bij de lijnorganisatie en niet bij de controller. Waar de controller wel verantwoordelijk voor kan worden gehouden, is de mate en wijze van ondersteuning bij het omgaan met risico’s in alle bestaande activiteiten en processen. Sterker nog: de controller kan een stimulerende voorbeeldrol vervullen als risicoleider.
Bronnen
- COSO (2017). Enterprise risk management: integrating with strategy and performance. Committee of Sponsoring Organizations of the Treadway Commission.
- Staveren, M. van (2020). Iedereen risicoleider: waarde realiseren en behouden in een onzekere wereld. Management Impact.
