Nu de koeriersdiensten niet langer met 1pk over de daken c.q. door de schoorsteen hoeven, is de tijd voor hoop op betere tijden, volgend jaar, aangebroken. In geval van risicomanagement vertaalt zich dat naar: Niet meer alleen maar braaf sjabloonmatig de structuren van anderen volgen, maar inzetten op eigenwijze effectiviteit. Risicomanagement zal daarmee van een risicoversterkende (sic) factor op zich, kunnen veranderen in een natuurlijk onderdeel van organisatiemanagement.

Wie sectorbreed kijkt, ziet dat er een discussie is ontstaan over wie de zwarte piet krijgt toegeschoven voor de ineffectiviteit van het huidige risicomanagement, zoals dat blijkt uit enerzijds allerlei non-compliancies, anderzijds gebrekkige efficiency. Enerzijds blijkt organisatie-aanpassing een stroef verlopend gebeuren — zeker waar het verandering van gedrag en gedachte, principle-based tussen de oren, betreft. Anderzijds zijn de ingerichte stelsels vooral een flink stuk nieuwe overhead voor de werkvloer waar de echte productie wordt gemaakt en verkocht terwijl de risico’s niet minder acuut blijken. Zelfs waar sprake was en is van “three lines of defense”, blijken die geen verdediging in de diepte te geven tussen bedreigingen en kwetsbare plekken, maar veeleer tegen toezicht en inzicht, potten­kijkers, van buitenaf te weren. De bedreigingen laten zich weinig gelegen liggen aan de opgetuigde kerstboom van “beheersingsstructuren”, “GRC” (laat staan “GRC-tooling”) of ISO-implementaties.

Zijn we dan op de verkeerde weg ..? 

Ja, de overhead dreigt te verworden tot een feestje om des eigen wille. Alle jongens en meisjes zijn allerwegen hard aan het communiceren en leuke nieuwe zaken aan het implementeren – maar uiteindelijk worden met al die processen, overlegstructuren en afstemmende communicatie nog steeds te weinig risico’s daarwerkelijk gemanaged.

Want risico’s managen, dat is ze kennen, de scherpe kantjes ervan afslijpen met specifieke maatregelen — die dus in het vocabulaire en vaktechniek van de werkvloer worden opgesteld, daadwerkelijk geïmplementeerd én zodanig geïntegreerd met het dagelijks werk worden uitgevoerd dat het nergens aan opvalt. Én risico’s managen is erkennen dat risico’s sowieso maar hoogst beperkt kunnen worden “gemitigeerd”. Al datgene wat wordt beheerst, is per definitie (jawel) geen risico meer. Plus, uitgaan van “het moet van audit” of “risico’s optimaal mitigeren waar het kan”, dat ondanks de nodige bezweringen schering en inslag is, is de staart die de hond zwaait.

Daar bovenop wordt nogal eens gedacht dat top-down kan worden bepaald waar en hoeveel risico’s acceptabel zijn. Wat dan uitkomt op: hoe lager in de organisatie, hoe dichter bij nul. Dat moet dan koste wat het kost worden bereikt, totdat de kosten worden gepresenteerd, want dan zijn de best passende oplossingen plots te duur. Waarna alsnog de opdracht komt de risico’s naar nul te reduceren; zowat gratis — al is dat gewoonweg onmogelijk. Degene die zo top-down denken, zullen vervolgens menen het eigen werk prima volgens de proces- en procedureregels te hebben gedaan, maar voor de organisatie als geheel slaan ze de plank heel precies mis. Dat resulteert immers in Diginotar’s en Liborgate die wel aantonen hoe prima “beheerste” operations uiteindelijk toch niet zo tof uitpakten en deze voorbeelden zijn een maar heel klein topje van een heel grote ijsberg.

En nee, er is wel degelijk waarde in risicomanagement als discipline. Mits…, mits dermate geïntegreerd in het eerstelijns management, waar wordt geproduceerd en waar geld wordt verdiend, dat het een vast, ja zowat onmerkbaar onderdeel is van de managementtaken. Juist in tijden van kenniswerk en afrekenen op prestatie, niet op onproductieve aanwezigheid, zien we dat slechts beperkte management-overhead nodig is. Management wordt namelijk vooral faciliterend voor de medewerkers, die zelf beter weten dan de manager wat er aan werk moet gebeuren en vooral hoe — anders was het voor de organisatie als geheel per definitie rendabeler om de manager uitvoerend te houden.

Zoals managers al een forse dosis HR-taken in portefeuille hebben qua faciliteren van medewerker-ontplooiing, groeibegeleiding en vervulling van onder­steunings­behoeften, zo zullen ook een flink aantal risicomanagement­taken door die managers zelf kunnen en moeten worden uitgevoerd. Die managementtaken bestaan voor een groot deel uit “de scherpe kantjes ervan afhalen” voor de mede­werkers, en voor de organisatie als geheel. Welke scherpe kantjes (risico’s) en waar die zitten, ja dát is risicomanagement in de eerste lijn waar de kennis zit.

Niet minder, en vooral (in de eerste lijn) niet veel meer. HR als afdeling is bepaald niet overbodig, tweedelijns risicomanagement evenzo niet. Want het voor de organisatie breed onderhouden van een overzicht van alle risico’s, klein en groot op alle niveaus, en het onderhouden van een overzicht van hoe de organisatie daarmee omgaat, dat hoeft niet in de eerste lijn te liggen maar kan worden uitbesteed aan die tweede lijn. Die dus geen directieve uit kan of mag geven, maar vooral coördinerend en rapporterend bezig zal zijn ter ondersteuning van de eerste lijn. En handzame tooltjes kan bieden en zelf als geheel ook tool is van hoger management.

Het “met risico’s omgaan” door de eerste en tweede lijn zal vooralsnog geen eenvoudige opgave zijn. Er is immers tot nu toe best weinig werkelijk inzicht te vinden in de bedreigingen, kwetsbaarheden, kosten en baten. Hooguit zijn er wat cijfers, wat schattingen in termen van Hoog-Midden-Laag en wat detail-arme verplichtingen van buitenaf (dus per definitie niet vanuit het organisatiehart). Helaas zijn objectieve kostenramingen, van werkvloer tot strategisch niveau van potentiële impact, kansen en kosten, een illusie. Een hard feit: Voor zover er al cijfers zijn, drijft ieder getal op zo veel verborgen aannames en schattingen dat alle benodigde slagen om de arm de objectiviteit eruit halen en de resultaten vaag zouden moeten blijven.

En dan belanden we in het gebied van kwalitatieve schattingen, kwalitatieve overwegingen en navenant weinig nauwkeurige grenzen voor het al of niet accepteren van risico’s. Waarna wellicht weer wordt terug­gevallen op de eis van “geen risico’s”. Wat nog steeds onbetaalbaar is, en onmogelijk is, daar er ook nog wat moet worden gepresteerd. Het enige dat dan soms rest, is achter de laatste hypes zoals “disruptie” en “cyber-alles” aanlopen. Waardoor de aandacht van het management voor de echte risico’s op alle niveaus te weinig aandacht krijgt en hooguit de verkeerde plank niet langer wordt misgeslagen.

Risicomanagement, de tweede lijn, is dus zowel een kunst als een kunde. Waarbij aansluiting op de eerste lijn, dus werkelijk begrip van en inzicht in jargons en leefwerelden die daar spelen, een harde voorwaarde is. Maar een voorwaarde die nog te vaak zo vanzelfsprekend lijkt, dat die wordt veronachtzaamd. De deskundigen uit de stafafdeling menen immers wel te weten hoe de wereld in elkaar zit en zullen dat de eerste lijn wel vertellen. Waarbij bovendien als tweede voorwaarde de eerste lijn haar rol naar behoren moet vervullen. Het delegeren van risico”management”, een deel van de uitvoerende taken, naar de tweede lijn pleit niet vrij van de verant­woor­delijkheid, lees resultaataansprakelijkheid, in de eerste; nog een reden om de eerste lijn “in the lead” te houden.

En dan is er nog de derde voorwaarde van professionaliteit van de tweede lijn. Misschien is het zelfs beter om die deskundigheid van buiten te halen: Met een mogelijk bredere blik op de wereld en minder lokale bijziend­heid kan de subjectiviteit worden teruggedrongen. Het benodigde inzicht en de wijsheid bestaan ook beslist niet uit het volgzaam of met zoef-de-haas-enthousiasme de one size fits all ISO-standaarden of toezichthouders­regeltjes achterna lopen. Wie verklaart (window-dressend) naar de letter compliant te zijn, gaat eraan voorbij dat dit hóógstwaarschijnlijk betekent, de facto niet naar de geest compliant te zijn.

Waarlijk wijze toezichthouders, uit het Oosten of van elders, zien dat overigens en zullen door de vinkjesberg heen de zeldzame werkelijke ster herkennen. En minder wijze toekijkers zijn met wat groene smileys gemakkelijk met blij gezicht de woestijn in te leiden. Dat laatste is overigens juist voor de eigen organisatie op korte termijn misschen nodig (“get off my back”) en vermakelijk, maar op lange termijn nutteloos. Het heeft immers geen enkel positief effect op de werkelijke kwaliteit van de risicobeheersing. Niet doen dus, en gewoon goed (risico)werk leveren, dan hoeft er geen schone schijn te worden gepresenteerd.

Tot slot zal de “derde lijn” zich overigens vooral op compliance met de principes moeten richten. Dus zich niet op de hoe-dikker-hoe-beter vooraf gevulde dossiers moeten richten maar zelf op zoek moeten naar de beno­digde kennis en inzicht. Dossiervullen door de eerste en ook door de tweede lijn hindert immers het echte werk, en verwordt telkens weer van decharge­middel tot een vorm van zelf-incriminatie; moreel verwerpelijk. Of dat laatste begrepen wordt door de toekijkers … ? Waar iedereen zich gedraagt, zal derdelijns lichte surveillance voldoende kunnen zijn. Was dat niet het doel? Dat vervolgens de derde lijn ook niet ten onder hoeft te gaan aan proceduretijgerpietluttigheden moge duidelijk zijn.

Laat op deze manier de eerste, tweede en derde lijn van risicomanagement effectief én efficient kunnen zijn. Zodat de veelvuldige wie-doet-wat-(niet-goed-)discussies binnen organisaties door inzicht, wijsheid, verlichting en samenwerking wordt uitgebannen. Dat geeft in deze tijd de benodigde lichtpuntjes en goede voornemens…