Geplaatst op Door Jack P. Kruf

Risicocultuur

Institute of Risk Management | oktober 2012

Richard Anderson, voorzitter van het Instituut voor Risicomanagement: “Al meer dan 25 jaar biedt het Institute of Risk Management leiderschap en begeleiding aan de opkomende risicomanagementprofessie met een unieke combinatie van academische uitmuntendheid en praktische relevantie. Het profiel van het instituut blijft internationaal groeien door de toenemende belangstelling voor risicomanagement binnen de overheid, de publieke sector en het bedrijfsleven. 

Deze board guidance on risk culture is onze laatste bijdrage aan het thought leadership op dit gebied. Hoewel essentieel, toont de voortdurende ‘stoet’ van organisatorische rampen (met enkele opmerkelijke successen) aan dat kaders, processen en standaarden voor risicomanagement onvoldoende zijn om ervoor te zorgen dat organisaties hun risico’s op een betrouwbare manier beheren en hun strategische doelstellingen behalen. Wat ontbreekt is het gedragselement: waarom gedragen individuen, groepen en organisaties zich zoals ze zich gedragen en hoe beïnvloedt dit alle aspecten van risicobeheer?

Problemen met de risicocultuur krijgen vaak de schuld van organisatorische problemen, maar tot nu toe was er weinig praktisch advies over wat er aan te doen.

Dit document probeert een leidraad te bieden op dit gebied, waarbij gebruik wordt gemaakt van de schat aan praktische ervaring en deskundige kennis binnen het Instituut. Het is bedoeld als advies voor organisaties die meer inzicht willen krijgen in hun eigen risicocultuur en als praktische hulpmiddelen die ze kunnen gebruiken om verandering te stimuleren. Het zou interessant moeten zijn voor bestuursleden, executives en non-executives, risicoprofessionals, HR-professionals, regelgevers en academici.

Dit korte document vat onze benadering van risicocultuur samen voor mensen die op directieniveau werken. Er is ook een langer begeleidend document – Risk Culture: Resources for Practitioners – dat de gedetailleerde denkwijze achter de concepten en modellen beschrijft die wij nuttig vonden. Dit blijft een gebied in ontwikkeling en we denken niet dat we het laatste woord over dit onderwerp hebben geschreven – we verwachten in de toekomst meer modellen en hulpmiddelen te zien en in het bijzonder sectorspecifiek en themaspecifiek werk.

Hoe ziet een goede cultuur eruit?

Een effectieve risicocultuur is er een die en beloont individuen en groepen voor het nemen van de juiste risico’s te nemen. Een succesvolle risicocultuur omvat:

    1. Een duidelijke en consistente toon van de top van de raad van bestuur en het senior management ten aanzien van het nemen en vermijden van risico’s (en ook rekening houden met toon op alle niveaus).
    2. Een commitment aan ethische principes, weerspiegeld in de aandacht voor het ethische profiel van individuen en de toepassing van ethiek en de overweging van bredere standpunten van belanghebbenden bij de besluitvorming.
    3. Een gemeenschappelijke acceptatie in de organisatie van het belang van continu risicobeheer, waaronder duidelijke verantwoordelijkheid voor en eigenaarschap van specifieke risico’s en risicogebieden.
    4. Transparante en tijdige risico-informatie die op en neer door de organisatie stroomt slecht nieuws wordt snel gecommuniceerd zonder angst voor schuld.
    5. Aanmoediging van het melden van risico’s en klokkenluiden, actief proberen te leren van fouten en bijna-fouten.
    6. Geen proces of activiteit is te groot of te complex of te onduidelijk om de risico’s gemakkelijk te begrijpen.
    7. Passend risicogedrag beloond en aangemoedigd en ongepast gedrag uitgedaagd en bestraft.
    8. Vaardigheden en kennis op het gebied van risicobeheer gewaardeerd, aangemoedigd en ontwikkeld, met een goed gefinancierde risicomanagementfunctie functie en wijdverspreid lidmaatschap van en steun voor beroepsorganisaties. Professionele kwalificaties worden ondersteund evenals technische training.
    9. Voldoende diversiteit van perspectieven, waarden en overtuigingen om ervoor te zorgen dat de status quo consequent en rigoureus wordt uitgedaagd
    10. Afstemming van cultuurmanagement op werknemersbetrokkenheid en mensen strategie om ervoor te zorgen dat mensen sociaal ondersteunend zijn, maar ook sterk gefocust zijn op hun taak.

Wat bedoelen we met risicocultuur?

Risicocultuur is een term die de waarden beschrijft, overtuigingen, kennis en begrip over risico’s die gedeeld worden door een groep mensen met een gemeenschappelijk doel, in het bijzonder de werknemers van een organisatie of van teams of groepen binnen een organisatie. 

Dit geldt ongeacht of de organisaties particuliere bedrijven zijn overheidsinstanties of non-profits zijn en waar ze zich ook bevinden in de wereld.

We stellen voor om een eenvoudige A-B-C benadering (Institute of Risk Management, 2012) als nuttig om te begrijpen hoe cultuur, en dus ook risicocultuur, in de praktijk werkt.

    • De cultuur van een groep ontstaat uit het herhaald gedrag van de leden.
    • Het gedrag van de groep en de samenstellende individuen wordt gevormd door hun onderliggende houdingen.
    • Zowel gedrag als houding worden beïnvloed door de heersende cultuur van de groep.

De cultuur in een organisatie ontstaat uit het herhaalde gedrag van haar leden. Deze gedragingen worden gevormd door de onderliggende waarden, overtuigingen en houdingen van individuen, die deels inherent zijn, maar ook beïnvloed worden door de heersende cultuur in de organisatie. Cultuur is daarom onderhevig aan ‘cycli’ die zichzelf kunnen versterken in deugdzame of vicieuze cirkels. Cultuur is meer dan een verklaring van waarden hoe deze zich vertalen in concrete acties. Iedereen zal directe ervaring hebben met de verschillende culturen op verschillende werkplekken, zelfs in organisaties die ogenschijnlijk in vergelijkbare omstandigheden werken. 

“Risicocultuur” verfijnt het concept van organisatiecultuur en focust vooral op het collectieve vermogen om risico’s te managen. De bredere organisatiecultuur en risicocultuur beïnvloeden elkaar. Definities in ons model zijn:

    • Risicohouding is de gekozen positie die een individu of groep inneemt ten opzichte van risico, beïnvloed door risicoperceptie en aanleg.
    • Risicogedrag omvat externe waarneembare risicogerelateerde handelingen, waaronder risicogebaseerde besluitvorming, risicoprocessen risicocommunicatie et cetera
    • Risicocultuur zijn de waarden, overtuigingen kennis en begrip over risico’s, gedeeld door een groep mensen met een gemeenschappelijk doel, in het bijzonder het leiderschap en de werknemers van een organisatie.

Eén van de vele uitdagingen bij het aanpakken van cultuur is dat mensen zich van nature aangetrokken voelen tot anderen zoals zijzelf. De cultuur van een organisatie zichzelf instandhouding en zichzelf als het ware promoten als de bijvoorbeeld werving- en selectie processen en de werkomstandighedem ongewijzigd blijven.

Elke organisatie heeft een risicocultuur (of inderdaad culturen): de vraag is of die cultuur het succes van de organisatie effectief ondersteunt of ondermijnt.

Waarom is risicocultuur zo belangrijk?

Alle organisaties moeten risico’s nemen om hun doelstellingen te bereiken. De heersende risicocultuur binnen een organisatie kan het aanzienlijk beter of slechter maken bij het beheren van deze risico’s. Risicocultuur heeft een significante invloed op het vermogen om strategische risico’s te nemen en prestatiebeloften waar te maken. Organisaties met een ongepaste risicocultuur zullen onbedoeld toestaan dat activiteiten plaatsvinden die volledig in strijd zijn met vastgestelde beleidsregels en procedures of geheel buiten deze regels opereren.

Een ongepaste risicocultuur betekent niet alleen dat bepaalde individuen of teams deze activiteiten ondernemen, maar ook dat de rest van de organisatie negeert, goedkeurt of niet ziet wat er gebeurt. In het beste geval zal dit het bereiken van strategische, tactische en operationele doelen belemmeren. In het ergste geval zal het leiden tot ernstige reputatie- en financiële schade. Problemen met de risicocultuur liggen vaak ten grondslag aan organisatieschandalen en -faillissementen. Na de financiële crisis concludeerde het Walker-rapport over corporate governance van Britse banken dat “de belangrijkste nadruk op veel gebieden ligt op gedrag en cultuur, en het doel was om voorstellen te vermijden die box-ticking conformiteit aantrekken als afleiding of alternatief voor veel belangrijkere (maar vaak veel moeilijkere) substantiële gedragsveranderingen” (Walker, 2009). Het Baker-rapport (Baker, 2007) over de explosie in BP Texas City in 2005 concludeerde dat tekortkomingen in leiderschap, competentie, communicatie en cultuur hebben bijgedragen aan de omstandigheden die leidden tot de dood van 15 mensen.

Risicocultuur gaat niet altijd over het nemen van te veel risico: bepaalde culturen zijn zo goed in het ontwikkelen en implementeren van formele processen en kaders dat ze het risico nemen dat nodig is voor succesvolle innovatie verstikken. In andere situaties kan de heersende cultuur het vrijwel onmogelijk maken om de risicohoudingen en -gedragingen te verankeren die geschikt handelen buiten regels en beleid begeleiden, wat uiteindelijk leidt tot ongecontroleerd risico nemen.

Enkele belangrijke verschillen tussen nationale culturen worden versterkt door de onzekere aard van risico’s. In sommige culturen betekent bijvoorbeeld ‘ja’ dat men het beste doet om een plan na te komen, in plaats van de zekerheid van de gebeurtenis die het in andere culturen betekent. Evenzo bestaat er in Oosterse culturen een veel sterker gevoel van schaamte dan in Westerse culturen, wat een aanzienlijke invloed kan hebben op zowel het beheren als het rapporteren van risico’s, met goede en slechte punten voor elk cultuurtype. Misschien minder bekend, maar belangrijk voor het creëren van betrokkenheid bij risicovraagstukken, is dat in Afrikaanse culturen elke partij de tijd en gelegenheid krijgt om hun standpunten te delen, zelfs als dit slechts betekent dat ze instemmen met wat anderen hebben gezegd. In tegenstelling tot Europa en Noord-Amerika, waar we vaak accepteren wat is gezegd en pas aanvullende punten toevoegen tijdens verdere dialoog. Opnieuw moeten deze verschillen worden gezien als onderscheidingen, in plaats van een juiste of onjuiste aanpak, aangezien elke benadering goede en slechte punten heeft.

De afgelopen jaren is er aanzienlijke vooruitgang geboekt in het ontwikkelen van regels, kaders, processen en standaarden voor risicobeheer. Maar de zakenpers bevestigt dagelijks dat deze disciplines op zichzelf niet voldoende zijn om een tastbaar verschil te maken voor het succes of falen van organisaties. Regels kunnen verkeerd worden begrepen en toegepast, onbedoeld of opzettelijk. De ‘ontbrekende schakel’ in het begrijpen hoe risico en beloning in besluitvorming succesvol in balans kunnen worden gebracht, is de risicocultuur van de organisatie.

Wat kan het bestuur doen aan risicocultuur?

Over de hele wereld stellen eisen aan corporate governance steeds vaker dat de raden van bestuur van organisaties inzicht moeten hebben in en aandacht moeten besteden aan hun risicocultuur. De raad heeft de verantwoordelijkheid om een risicocultuur vast te stellen, te communiceren en te handhaven die consequent invloed uitoefent, richting geeft en in lijn is met de strategie en doelstellingen van de onderneming, en daarmee de integratie van risicomanagementkaders en -processen ondersteunt. Dit begint bij het risicogedrag, de houding en cultuur van de raad zelf en werkt door tot in de hele organisatie.

Het bestuur dient zich af te vragen:

    • Wat is de huidige risicocultuur in onze organisatie en hoe kunnen we het risicomanagement binnen die cultuur verbeteren?
    • Hoe willen we die cultuur veranderen?
    • Hoe gaan we van waar we nu zijn naar waar we willen zijn?

Onderzoek uitgevoerd door IRM (Institute of Risk Management, 2012) toont aan dat er nog weinig consensus is onder risicoprofessionals over de beste manier om het bestuur te helpen bij het analyseren van risicocultuur. De meeste organisaties gebruiken informele evaluatietechnieken of vermijden deze helemaal.

IRM biedt daarom de benadering in dit document aan als een praktisch raamwerk om deze uitdagingen aan te pakken. We erkennen dat dit een snel ontwikkelend vakgebied is en willen een nuttige bijdrage leveren aan wat nog steeds een onvoldoende begrepen aspect van risicomanagement is.

Tien vragen die een bestuur zichzelf zou moeten stellen

    1. Welke toon zetten we vanuit de top? Bieden we consistente, coherente, duurzame en zichtbare leiding in hoe we verwachten dat onze mensen zich gedragen en reageren bij het omgaan met risico’s?
    2. Hoe stellen we voldoende duidelijke verantwoordelijkheden vast voor degenen die risico’s beheren en houden we hen verantwoordelijk voor die verantwoordelijkheden?
    3. Welke risico’s creëert onze huidige bedrijfscultuur voor de organisatie, en welke risicocultuur is nodig om de doelstellingen van ons bedrijf te bereiken? Kunnen mensen openhartig praten zonder angst voor gevolgen of genegeerd te worden?
    4. Hoe erkennen en leven we onze verklaarde bedrijfswaarden bij het aanpakken en oplossen van risicodilemma’s? Bespreken we deze kwesties regelmatig in deze termen en heeft dit invloed gehad op onze beslissingen?
    5. Hoe ondersteunen de structuur, processen en beloningssystemen van de organisatie of dragen ze af aan de ontwikkeling van onze gewenste risicocultuur?
    6. Hoe zoeken we actief informatie over risicovoorvallen en bijna-ongelukken – zowel die van ons als van anderen – en zorgen we ervoor dat belangrijke lessen worden geleerd? Hebben we voldoende organisatorische nederigheid om onszelf vanuit het perspectief van belanghebbenden te bekijken en niet gewoon aan te nemen dat we het goed doen?
    7. Hoe reageren we op klokkenluiders en anderen die oprechte zorgen uiten? Wanneer is dit voor het laatst gebeurd?
    8. Hoe belonen en moedigen we gepast risicovoorstelgedrag aan en dagen we onevenwichtige risicogedragingen uit (ofwel te veel risico-avers of risicovriendelijk)?
    9. Hoe verzekeren we ons ervan dat nieuwe medewerkers onze gewenste culturele waarden snel opnemen en dat gevestigde medewerkers blijven demonstreren dat hun houding en gedrag consistent zijn met onze verwachtingen?
    10. Hoe ondersteunen we leren en ontwikkeling die verband houden met het vergroten van bewustzijn en competentie in het beheren van risico’s op alle niveaus? Welke training hebben wij als bestuur gehad op het gebied van risico?

Bibliografie

The Institute of Risk Management (2012). Risk Culture: Under the Microscope Guidance for Boards. London: IRM.

Download Risk Culture: Under the Microscope Guidance for Boards en Risk Culture: Resources for Practitioners

Selectie en Nederlandse vertaling: Jack Kruf.