De toegevoegde waarde van risk readiness in ISO

De toegevoegde waarde van
risk readiness in ISO
31000:2009
White paper
3rd International Conference 2014 on ISO 31000
The Global Institute for Risk Management Standards
New York City
14-15 Juli, 2014
Thinka Bor-Reijinga
1
Samenvatting
De toegevoegde waarde van ISO 31000 als compleet risico(proces)managementkader wint
aan kracht als een meer verifieerbare aanpak wordt geboden, gebaseerd op de Principes h
en i in hoofdstuk 3 en een uitwerking van § 4.3.5 Middelen "Personeel, vaardigheden,
ervaring en bekwaamheid" en "Trainingsprogramma's". Werkend leren en risk readiness
bieden een anker om deze kritieke succesfactoren te concretiseren. Kennis en vaardigheden
zijn de te versterken schakels in het handelen van professionals. De krachtigste prikkel naast kennis, (risico)bewustwording en inzicht - is ervaringsleren. Aangenomen dat het
mandaat tijd en gelegenheid geeft aan het lijnmanagement en professionals, maakt een
meerjarig georganiseerede vorm van werkend leren een effectieve manier om nieuwe
kennis en vaardigheden op te doen in het dagelijkse werk. [120 woorden]
Index / trefwoorden
[Action Learning, ALERT, competence, experience, hard controls, high reliability organizations, MAP,
organizational readiness, organizational mindfulness, positive asymmetry, pre mortem analysis,
Principles (Clause 3), Resources (§ 4.3.5), proficiency, risk awareness, risk culture, risk readiness, risk
survey, skills, soft controls, SWIFT, training programmes]
2
De toegevoegde waarde van risk readiness in ISO 31000:2009
Een levendige gedachtenwisseling op het G31000-LinkedIn forum, gestart door Jacquetta Goy over
'Risk culture, what does it mean? Does it matter?' bood zicht op de veelheid aan opvattingen en
interpretaties van risicocultuur. Deze vorm van crowdsourcing toont aan dat het framework een
breed platform biedt voor kennisuitwisseling. Nut en noodzaak van inbedding van een risicocultuur,
zo bleek, wordt alom omarmd. Toch blijft inbedding ervan zendingswerk. De praktijk toont aan dat
risicomanagement ambivalentie oproept. Risicomanagement kampt met dubbelzinnigheid, met
onrealistisch optimisme (positive asymmetry) of met de verzuchting dat het 'corvee' blijft.
Toegegeven, de technisch-procedurele implementatie is stukken eenvoudiger dan de bijbehorende
gedrags- en cultuurverandering. Toch zit er veel toegevoegde waarde in de gedragsaspecten van ISO
31000. In ISO 31004:2013 wordt een schoorvoetende poging gedaan tot een eerste
implementatieadvies. Dat leidde onmiddellijk tot een polemiek over wat deze gidsprincipes
bijdroegen aan wat er al was (HB436:2004)! De vraag is of we moeten blijven polemiseren. Continue
onderzoek naar en kennisuitwisseling over hard en soft controls is juist de moeite waard. Dit getuigt
van een lerende houding. Deze paper beoogt een gedachtenwisseling op gang te brengen en een
handreiking te doen hóe de menselijke en cultuurfactoren in hoofdstuk 3 en in § 4.3.5 met behulp
van risk readiness, werkend leren (Action learning), met een risk survey en met ALERT zouden
kunnen worden geoperationaliseerd.
De niet-tastbare principes van ISO 31000
De innovatieve waarde van het framework zit in de eerste pijler Principes (hoofdstuk 3). Deze elf
principes zijn een novum. Van deze principes behoeft de menselijke en cultuurfactor (onder h) een
goed georganiseerde verbinding tussen methodologie, instrumentatie en een organisatorische touch,
waar diverse referentiekaders en subculturen in een organisatie van zich doen spreken. Ook
transparantie en inclusie kunnen geconcretiseerd worden in instrumentatie en in actie. Dat deze
principes slechts beperkt zijn geoperationaliseerd is begrijpelijk want zij gaan over niet tastbare
kenmerken van houding, gedrag en vaardigheden.
ISO31000 bevat weliswaar gedragsaspecten, zij het slechts impliciet. De zachtere kanten van het
implementatieproces worden gelardeerd met toepassingssuggesties in ISO31004:2013. Om die
redenen ogen ontwikkeling en internalisatie van kennis en vaardigheden wat flets. Het gaat om het
vergroten van de bekwaamheid om het effect van onzekerheid en risico adequaat het hoofd te
bieden. Voor het welslagen van de operationalisatie is het belangrijk hoe we ons gedrag en
vaardigheden kunnen actualiseren en hoe we de condities in ons dagelijkse werk kunnen scheppen
om te leren en te oefenen. Paragraaf 4.3.1 noemt 'de relaties met, en percepties en waarden van,
3
interne belanghebbenden en de cultuur van de organisatie'. Behalve systeem- en structuuringrepen
vraagt institutionalisering om krachtige prikkels , nodig om de gewenste cultuur- en
gedragsverandering te verwezenlijken. Het combineren van kennis, ervaring, vaardigheden en
bekwaamheid in het risicomanagementdomein vereist sturing1.
Figuur 1: Soft control-principes
De gedragsparadox van risicomanagement
Om tot cultuur- en gedragsverandering te komen is extra inspanning nodig. Dat legt meteen een
open zenuw bloot. Empirisch onderzoek2 wijst uit dat het beschikken over kennis en deze effectief
omzetten in vaardigheden onverbrekelijk met elkaar verbonden zijn. Ook zijn er aanwijzingen dat
inspanningen om tot ontwikkeling van de benodigde competenties te komen niet het gewenste
effect sorteren. De autonome professional onttrekt zich in het algemeen aan top down opgelegde
1
Bemoedigend is dat inclusief leiderschap plus een continue sturende en normerende boodschap wel degelijk blijken te
werken, ook bij naar autonomie strevende professionals. Uit onderzoek naar de kritieke succesfactoren van Maasvlakte 2 is
gebleken dat een combinatie van sturing op hard en soft controls in combinatie of elk afzonderlijk het verschil hebben
gemaakt. Uit: Bor-Reijinga, T. De risicobeheerssystematiek van Projectorganisatie Maasvlakte 2. De Risk Readiness van een
Best Practice. Thesis Master Risicomanagement, Academy of Master en Professional Courses, Haagse Hogeschool, mei
2012.
2
Aardema, H. & Puts, H. De harde werking van soft controls. Tijdschrift voor Public ControllingTPC, juni 2008.
4
beïnvloeding en maakt zelf wel uit of hij wil leren of dat hij zich laat vertellen bij te dragen aan een
risicocultuur. Risicomanagement wordt nog vaak getypeerd als voer voor specialisten. Menigeen
beleeft risicomanagement als verplichte kost. Enerzijds geeft het ons een ongemakkelijk gevoel.
Anderzijds weten we maar al te goed dat risicobeheersing ook ons aangaat. De klassieke Pavlovreactie op het borgen van beheersbaarheid is wet- en regelgeving, voorschriften, checklists en
protocollen. De dubbelzinnigheid schuilt in wat Kahneman de twee mentale processen van systeem 1
en systeem 2 noemt. Wij kunnen situaties waarin fouten voor de hand liggen hooguit herkennen en
het hoogst haalbare is heel hard ons best te doen om deze fouten proberen te vermijden3.
Vooropgesteld dat we de tijd nemen en de ruimte krijgen om fouten te herkennen en te erkennen!
Vertalen we die mentale toestand naar wat dat voor een inspanning vraagt in termen van gedrag en
vaardigheden, dan is het zonneklaar dat risicoalert gedrag niet op een achternamiddag tot stand
komt. Risicocultuur- en een gedragsontwikkeling vraagt om uithoudingsvermogen,
incasseringsvermogen, overtuigingskracht en volhardendheid. In Managing the Unexpected (Weick &
Sutcliffe, 2007) wordt uitgebreid aandacht besteed hoe opmerkzaamheid kan bijdragen aan het
ontwikkelen en internaliseren van een risicocultuur4. In een interview met Kathleen Sutcliffe5 licht zij
het nut en de noodzaak en de kritieke succesfactoren toe om tot organizational mindfulness te
komen in high reliability organizations. Zij benadert het vraagstuk van 'alledaags leren' vanuit de
noodzaak van sturing, aanmoediging en vergroting van kennis en vaardigheden.
De board room en het lijnmanagement als kritieke succesfactor
Een zo breed mogelijk gedragen veranderproces begint bij het besef van de directie en het
lijnmanagement dat kennis en vaardigheden een twee kritieke succesfactoren zijn. Een cultuur- en
gedragsverandering hangt af van het iteratieve pad, waarvoor in het mandaat en het contract de
basis moet zijn gelegd en waarvoor ruim voldoende tijd en aandacht moet worden uitgetrokken. De
opdracht beschrijft bij voorkeur specifiek dat inspanning nodig is om kennis te vergroten,
vaardigheden op te doen en te oefenen met nieuw gedrag. Kritieke succesfactoren zijn:
1 wat moeten onze medewerkers kennen en wat moeten ze kúnnen?
2 hoeveel tijd gunt de directie het leerproces?
3 waar sturen directie en lijnmanagement consequent op?
4 welk voorbeeldgedrag laten zij zien?
3
Kahneman, D. Ons feilbare denken. Amsterdam: Business Contact, 2011, p.36.
Weick, K.E. & Sutcliffe, K. Managing the unexpected, Resilient performance in an age of uncertainty. San Francisco: Wiley
& Sons, 2007.
5
Interview Kathleen Sutcliffe, Ann Arbour - Rotterdam, 09-27-2013. In: Bor-Reijinga T. & G. van der Kolk, Alert op risico,
naar risk readiness in mensen en organisaties, Vakmedianet, 2014, p. 32
4
5
5 hoe blijft de directie geïnformeerd over een meerjarig leerproces?
6 hoeveel ruimte krijgen mensen van hun leidinggevende om te blijven leren?
Tijdige en duurzame betrokkenheid van besluitvormers en andere relevante stakeholders moeten
ervoor zorgen dat leren van en in het proces op de agenda blijft. De richtlijn stelt dat het
management een beslissende schakel is om een risicocultuur de kans te geven zich te ontwikkelen.
Kathleen Sutcliffe verwoordt het in het interview zo:" Building a culture of resilience has to be more
systematic and conscious than it is typically. Most leaders are not thinking that way. Cultures are
enabled, enacted, and elaborated. To enable a resilient culture is to diffuse specific capabilities,
norms and values throughout an organization, and that's something you never get behind you".
Rekening houdend met het gegeven dat medewerkers de neiging hebben om zich te onttrekken aan
leren en competentieontwikkeling vraagt van leidinggevenden vasthoudendheid . In de opdracht aan
het lijnmanagement is geformuleer dat het consequent sturen op het gewenste gedrag een must is.
Zo moet de lijnmanager met terugkerende regelmaat met zijn medewerkers aandacht besteden aan
hun bedrijfs- en werkprocessen en aan het benodigde nieuwe handelen. Bijsturing kan dan
onmiddellijk plaatsvinden en niet pas in het functionerings- of beoordelingsgesprek. Als stimulus
dienen periodieke organisatiebrede leerprocessen.
Een ISO31000-leerproces integreren met Action Learning
Hoewel ISO 31000 beoogt in § 4.6 Continue verbetering aan te sluiten bij het concept van de lerende
organisatie (Argyris, 1996; Senge, 1992; Weick & Sutcliffe, 2007; Pink, 2011), is het principe van
actualiseren van kennis en vaardigheden in het framework implicieter gebleven dan wenselijk is. De
kans op een geslaagd implementatieproces wordt aanzienlijk vergroot als wordt aanbevolen
specifieker te omschrijven wat kennis, ervaring, vaardigheden en bekwaamheid inhouden. Een
krachtige prikkel gaat uit van ervaringsleren: de aha-erlebnis 'aha, daar kan ik iets mee'! Zo leren
mensen zich nieuwe vaardigheden aan, gaan ze anders handelen en ontstaan er vervolgens nieuwe
patronen in het organisatiesysteem. Sutcliffe beveelt het volgende aan: "In my view, the resilience
results from broad and deep response repertoires, built from continual learning and training.
Learning should be more conscious and has to be a consequence of people taking enough time to
reflect. The opportunities for learning and training have to be rich and continuous. Cognitions and
actions are related. The more repertoires and capabilities you have, the more you are aware of the
effect of uncertainties on objectives. Without these capabilities you have blinders on. You really do
need to continuously find opportunities to stay alert, learn and create opportunities for linkages in
organizations. That's the hard and ordinary stuff, but these are critical activities6.
6
Ibid, p.34
6
Een pragmatische en trefzekere vorm van internaliseren is Action Learning. Action Learning faciliteert
dit leerproces door in groepsverband te reflecteren en interacteren op mogelijke onzekerheden en
potentiële faalfactoren in het werkproces aan de hand van real time cases. Met behulp van vooraf
geformuleerde spelregels over de interactie en de relatie gaat een waarderende en onderzoekende
houding (appreciative inquiry) hand in hand met de drijfveer kennis en ervaring uit te wisselen.
Spelregels zijn bijvoorbeeld: (1) andere referentiekaders begrijpen, (2) interdependenties op waarde
schatten en (3) schakelen tussen constructieve feed back geven en ontvangen. Men verwerft van en
met elkaar nieuwe kennis en ervaring dankzij reflectie en feed back. Professionals worden in deze
setting in staat gesteld hun handelen onmiddellijk om te zetten in een geactualiseerde performance
in hun onderhanden werk.
Figuur 2. Soft controls van Action Learning (AL)
Een praktijkvoorbeeld dient ter illustratie: een technisch onderlegde medewerker krijgt de opdracht
van zijn leidinggevende om in het kader van een ISO31000-implementatie een monitoringssysteem
te ontwikkelen. Bij de start deed hij een premortemanalyse7 die hem in staat stelde te leren van een
reeks faalsimulaties (imaginair) op basis van eerdere ervaringen (intellectueel) met dit soort
7
Klein, G. Performing a project premortem. Harvard Business Review, 85, nr. 9, 2007, p. 18-19. In ISO 31010 figureert dit als
Brainstorming.
7
processen. Hij kreeg het advies deze analyse te doen omdat hij weinig ervaring heeft met zo'n
opdracht en de wensen van de gebruikers niet kent. De opdracht doet vervolgens een beroep op
cognitieve arbeid, zoals het lezen van recente vakliteratuur en het puzzelen met ISO31000 en ICT
(intellectueel leren) en leidt tot een ontwerp van een systeem dat hij ter toetsing aanbiedt aan een
forum van collega’s (Action learning). Van deze collega’s doet hij ervaringen op (informeel leren /
SWIFT) over ontwerpverbeteringen, implementatie en gebruikseisen, dankzij hun constructieve feed
back. Dit leren bood hem houvast om op basis van zijn kennis, gezonde verstand en zijn intuïtie van
start te gaan met het ontwerp en nog slechts kleinigheden in de betatestfase op te lossen. Een mix
van intellectueel, imaginair en intuïtief leren komt bij elkaar met dank aan zijn AL-groep.
Suggesties voor verdere uitwerking
We hebben aangenomen dat het mandaat hecht aan ervaring, vaardigheden en competenties in het
risicomanagementproces. Vervolgens is het bepalen van de status quo van die kwaliteiten nodig. De
normatieve kwalificatie van (risico)bekwaamheid kan worden geduid als risk readiness. Risk readiness
betekent: het vermogen van mensen om de effecten van onzekerheid zodanig te hanteren dat zij
deze effecten kunnen voorkomen of op een veerkrachtige manier kunnen beheersen, en dat zij als
gedeelde overtuiging hebben verinnerlijkt in - meetbaar - risicobewustzijn en kunnen omzetten in
risicoalert handelen. Deze formulering bestaat doelbewust uit werkwoorden, die 'actie' adresseren
aan besluitvorming, lijnmanager en medewerker. In risk readiness figureert risico (risk), een
grondhouding van paraatheid (the condition of being ready) en (organisatorische) bereidwilligheid
(willingness).
Het diagnosticeren en verifiëren van deze niet-tastbare 'middelen' (§ 4.3.5) kan met een risk survey.
Deze webbased vragenlijst leidt tot een diagnose over de status van risk readiness, geeft een
kwalitatief beeld van hoe bedrijfsprocessen zijn georganiseerd, hoe mensen met elkaar omgaan en
fungeert tevens als een nulmeting. De survey bestaat uit zes meetvelden met elk tien vragen, die
kunnen worden beantwoord met 'helemaal niet', 'in zekere mate' en 'in ruimte mate'. Deze
meetvelden komen samen in het acroniem MASTER en zijn:
A
Het managen van de condities voor risicobeheersing (Management en sturing)
B
Flexibel omgaan met onverwachte omstandigheden (Aanpassingsvermogen)
C
Blijven presteren in onverwachte situaties (Stress control)
D
Organiserend vermogen (Transformatie)
E
Inlevend en respectvol in de interactie en communicatie (Empathie)
F
Constructief en beschouwend (Reflectie)
8
Uit de score wordt een curve in stoplichtkleuren in een staafdiagram geplot (zie figuur).
Is de score groen, dan is de risk readiness op orde en volstaat periodiek onderhoud. Bij een cruve in
oranje of rood is een dialoog in de organisatie gewenst zo niet dringend noodzakelijk. De
vragenlijsten bieden aanknopingspunten voor verdere verdieping door dialoog. Stel dat uit de
nulmeting blijkt dat medewerkers kritisch oordelen over het gefaciliteerd worden door het
management. Dan is deze uitkomst aanleiding om het gesprek tussen medewerkers en management
aan te gaan over wat er nodig is om risicoprocesmanagement in de vingers te krijgen. Betrokkenheid
van het management blijkt uit concrete acties, zoals gegunde tijd om AL-workshops te organiseren,
het vergemakkelijken van de toegankelijkheid van het risicoprocesmanagement, ondersteuning van
het proces door aan te moedigen te oefenen en gelegenheid te bieden om issues te bespreken.
Geen 'afrekencultuur', maar mogen leren van fouten. Dit veronderstelt een collegiaal klimaat,
tweerichtingsverkeer en doorzettingsvermogen om door middel van nieuwe vaardigheden risk
readiness in de alledaagse werkpraktijk te integreren.
Transparantie en inclusiviteit organiseren
In het belang van een succesvolle implementatie en integratie figureren transparantie en inclusiviteit.
Om deze te organiseren, kan ALERT helpen. ALERT is een beheersmaatregel avant la lettre om het
organiserend vermogen aan te boren door adequate voorbereiding. Willen we een organisatie met
medewerkers die risk ready is, dan houden de mensen elkaar risicoalert en treffen - waar nodig steeds aanvullende maatregelen om risico's en onzekerheden voor te blijven. ALERT bevordert
transparantie en inclusiviteit (zie 'i' onder de Principes) door het interne en externe organiserend
9
vermogen in processen te vergroten en onzekerheden en risico's in bedrijfs- en werkprocessen onder
ogen te komen. De volgende vijf stappen vergroten het (zelf)organiserend vermogen:
Stap
Gidsvragen
Focus
A dresseer
Identificeer de interne en externe sleutelspelers
Met Adresseren worden
Wie zijn er in het proces betrokken?
sleutelspelers geïdenti-
Wie ontbreken er nog?
ficeerd nodig voor het
Wie zijn potentiële early adopters, mede-, tegenstanders?
risicomanagementproces
(Principes,
H3 onder i)
L anceer
Stel met elkaar de de status quo vast (b.v. met de survey)
Lanceren trapt af met een
(Principes
Waar liggen voorzienbare faalfactoren in bedrijfprocessen?
inventarisatie en
H3 onder f)
Welke (ervarings)informatie is beschikbaar en welke niet?
uitwisseling van vitale
Hoe voorkomen we informatie-asymmetrie in het proces?
informatie aan elkaar
Creëer en consolideer mandaat en commitment
Engageren gaat over het
Wat is nodig om sponsoren/stakeholders te committeren?
verwerven van
Welke prioriteit krijgt het proces van het management?
medewerking en het
Wat betekent dat voor going concern-processen?
consolideren van
§ 4.2)
Welke spelregels stellen we met elkaar vast ?
commitment
R elateer
Leg verbanden tussen potentiële afbreukrisico's in het
Relateren voorziet in het
proces en formuleer beheersmaatregelen
kritisch beschouwen en
Waar zitten de kansen en belemmeringen vanuit integraal
afwegen van risicocriteria
oogpunt?
en hun (risicovolle )
Wat zijn daarvan de consequenties voor het proces?
interdependenties
T ransfor-
Stel benodigde prikkels en actie vast en borg de condities
Transformeren gaat over de
meer
om tot adequate uitvoering te komen.
benodigde inspanning om
(Principes
Zijn medewerkers toegerust ?
tot verinnerlijking,
Zo nee, wat moet er aan ontwikkeling en training
implementatie en borging
gebeuren?
van risicomanagement te
Hoe zien we toe op een continue leer- en verbeterproces ?
komen.
E ngageer
(Principes
onder i /
Kader H4,
(Principes
H3 onder d)
H3 onder k/
Kader H4, §
4.3.5 en 4.6)
Adresseren is het in kaart brengen van de spelers en het speelveld. Door je gezonde verstand te
gebruiken is een netwerk snel geïnventariseerd. Actor- en krachtenveldanalyse kleuren het plaatje
in. Op basis van dit plaatje is een inschatting te maken van de onderlinge verhoudingen, de early
adopters en coalitiegenoten, de mede- en tegenstanders alsook hun potentiële bijdrage en hun
hindermacht. Lanceren is stil staan bij het fenomeen van informatiesymmetrie en de potentieel
10
verstorende werking van het niet op hetzelfde relevante kennis- en informatieniveau te starten of op
hetzelfde moment te vertrekken. Engageren betreft het creëren van betrokkenheid, d.w.z.
duurzame aandacht en uithoudingsvermogen van de leiding, het management en professionals. Een
geëngageerde professional is iemand die gecommitteerd is en onvoorwaardelijk zal handelen in het
belang van de opdracht en de doelstellingen om ISO 31000 te laten welslagen. Relateren is ervan
doordrongen zijn dat de complexiteit van risicomanagement altijd een integrale opgave is, met vele
interdependenties tussen betrokken medewerkers. Het besef dat ieders handelen invloed heeft op
andermans handelen en tot voorzienbare onzekerheden kan leiden, voorkomt veel onnodige
procesblunders. Transformeren is tot actie overgaan in zowel de organisatie als in de werkprocessen,
alsmede het actualiseren van vaardigheden en gedrag. Als eerder in het proces is geconstateerd dat
men nog niet beschikt over de benodigde kennis en vaardigheden, dan moet er een maatstaf
ontwikkeld worden wat gewenst gedrag is. Van competenties gaat een normerende werking uit en
competenties bieden houvast aan sturing van gewenst gedrag. Leidinggevenden laten
voorbeeldgedrag zien en zijn competent om gedrag bij te sturen en op constructieve wijze de
effectiviteit ervan te bespreken.
Personeel, vaardigheden, ervaring en bekwaamheid operationaliseren
Risicoprocesmanagement veronderstelt kennis, kennen en kunnen. Om deze niet-tastbare
kenmerken tastbaar te maken, is van board room tot werkvloer discussie nodig wat kennis, ervaring,
vaardigheden en competenties betekenen. De middelen genoemd in § 4.3.5 zijn in algemene termen
geformuleerd. Louter algemeen formuleren is niet genoeg. Wat 'personeel, vaardigheden, ervaring
en bekwaamheid' inhouden formuleert de board room samen met het lijnmanagement,
ondersteund door de HR-afdeling. Het berust op een misverstand dat professionals menen zelf te
kunnen bepalen hoe hoog de competentielat mag worden gelegd. Evenzeer is het een misverstand
dat het management eenzijdig competenties oplegt. Het lijnmanagement werkt met medewerkers
uit hoe dat gewenste gedrag eruitziet, zodat draagvlak ontstaat voor een normatief kader. MAP
maakt het mogelijk gewenst gedrag te formuleren8. Meetbaar staat voor zo concreet mogelijk
omschreven gedrag. Actief staat voor wat dóe je (niet wat ga je laten) en de P maakt het Persoonlijk
(wie doet wat met een als-dan formule als situatie X zich voordoet, dan handel ik zus of zo). Als die
collega morgen wéér zeurt over de tijdrovende implementatie van ISO 31000, dan geef ik hem feed
back in plaats van over hem te klagen.
8
Tiggelaar Ben over Veranderpsychologie, Psychologische inzichten, slimme toepassingen, praktische technieken, seminar
Denkproductie, Bussum, 5 november 2013
11
Als voorbeeld dient de geoperationaliseerde gedragsnorm van de COO van een Amsterdamse
vermogensbank. Hij stuurt in het huidige kritische tijdsgewricht op integriteit en reputatie met een
zero tolerance norm. Deze norm hoort bij de toepassing van client due diligence gerespecteerd te
worden en hij verwacht bijbehorend handelen van de relatiemanagers. Bij de klantacceptatie is
voorgeschreven dat het risicoprofiel, herkomst van het vermogen en klantidentiteit plausibel worden
gemaakt met documentatie en bewijsmateriaal. De relatiemanagers menen echter dat zij de klant
goed genoeg kennen en vinden deze procedure administratieve rompslomp. Het voorschrift met de
bijbehorende gedragseis uitvaardigen blijkt dus niet tot het gewenste gedrag te leiden. Hij rekent
erop dat lijnmanagement hier stuurt. Dat gaat zo: het management vangt het signaal op dat
medewerkers herhaaldelijk de fout in gaan met het verzamelen van de benodigde documentatie. De
COO constateert dat de norm niet wordt nageleefd. In een simulatiesessie over reputatierisico's met
lijnmanagement en medewerkers bespreekt hij de norm, het gewenste gedrag en vraagt de
relatiemanagers te handelen conform de norm op een voor hun praktische wijze. Door te laten zien
dat hij wil bijdragen aan een prettig klimaat interpreteert de COO tone at the top9 als een die
opbouwend van toon is. Hij geeft ruimte om te leren van missers. Deze toon is een niet-tastbare
waarde van een cultuur die openheid propageert en voorkomt dat men fouten verdoezelt.
Samengevat kan de invulling van het gedrag van Management (tone at the top) er alsvolgt uitzien:
Basiscompetentie
Vermogen om …
Verifieerbaar gemaakt door ...
Management
•
•
een klimaat te creëren waarin de mening
(tone at the top,
van iedereen (inclusiviteit) kan gedijen en
inclusief
het leren van fouten de ruimte krijgt
leiderschap)
•
•
tonen en aan te moedigen te leren
•
•
aan (zwakke) signalen opvolging te geven
voldoende tijd en middelen
beschikbaar te stellen om te leren
normen, waarden en voorbeeldgedrag
zichtbaar uit te dragen
onmiddellijk betrokkenheid te
ongewenst gedrag onmiddellijk bij
te sturen met feedback
Pleidooi voor concretisering van gedragsaspecten door middel van werkend leren
ISO 31000 schrijft bewust geen verplichtende normen voor en beperkt zich tot het geven van
richtlijnen. De aanzet die ISO 31000 geeft ten aanzien van niet-tastbare aspecten zoals de menselijke
en culturele factor (Clause 3 onder h), transparantie en inclusiviteit (Clause 3 onder i) verdient echter
9
welke soft controls van belang zijn binnen organisaties blijkt uit een enquête (2008, Kaptein en Wallage) onder hoofden
van interne accountantsdiensten (IAD’s) van de honderd grootste bedrijven in Nederland. De respons was 54%.
Respondenten vinden de volgende soft controls belangrijk: tone at the top, mogelijkheid om incidenten te rapporteren,
integriteit van het bestuur, openheid om issues te bespreken, leiderschap, verantwoordelijkheidsbesef, voorbeeldgedrag
van het middenmanagement, bewustzijn, vertrouwen, betrokkenheid en loyaliteit. Bron:
http://wetenschap.infonu.nl/economie/81078-soft-controls-een-hype-of-iets-om-rekening-mee-te-houden.html
12
een nadere uitwerking. In deze paper zijn suggesties aangereikt om § 4.3.5 meer te concretiseren.
Een gedeelde overtuiging van board room, lijnmanagement en medewerkers verbindt de kracht van
strategieën, systemen en structuren (hard controls) aan de noodzaak te oefenen met nieuwe kennis,
inzichten en vaardigheden (soft controls), opdat risicoalert handelen een tastbaar kenmerk wordt
van de menselijke en culturele factor (onder h in Hoofdstuk 3). Een begrip zoals risk readiness - naar
analogie van organizational readiness - draagt hieraan bij door de toestand en het handelen op basis
van risk readiness zo concreet mogelijk te beschrijven. Is deze kwaliteit eenmaal als gedeelde
overtuiging verinnerlijkt, dan kan risicoalert handelen de vorm aannemen van een basiskwaliteit in
organisaties. Deze kan verifieerbaar gemaakt worden met behulp van een risk survey. Pragmatisme is
aan te bevelen, om te voorkomen dat men verzuipt in de keuze uit instrumenten. Het faciliteren van
een lerende organisatie is een pragmatische keuze. Mandaat, verbintenis en tone at the top
scheppen daartoe de randvoorwaarden om meerjarig invulling te kunnen geven aan de
gedragsaspecten van ISO 31000. Of de arbeids- en organisatiepsychologie hierin een rol kan
vervullen laat deze paper onbeantwoord. Bemoedigend is dat er nieuwe interdisciplinaire
onderzoeksmethoden ontluiken, zoals behavioral auditing en behavioral finance. Voor de hand ligt
om de (gedrags)kennis uit deze hoek te benutten. Aanbevolen wordt om § 4.3.5 Middelen in een
specifieke themaconferentie als groeimodel nader te verdiepen, zodat gedragsaspecten zichtbaar op
de agenda worden geplaatst.
13
Literatuurlijst
Aardema, H. & Puts, H. De harde werking van soft controls. Tijdschrift voor Public Controlling TPC,
juni 2008.
Argyris, C. Leren in en door organisaties. Het hanteerbaar maken van kennis. Schiedam: Scriptum
Management, 1996 [Oorspronkelijke titel: On Organizational Learning, 1992]
Bor-Reijinga, T. De risicobeheerssystematiek van Projectorganisatie Maasvlakte 2. De Risk Readiness
van een Best Practice. Thesis Master Risicomanagement, Academy of Master en Professional
Courses, Haagse Hogeschool, mei 2012.
Thinka Bor-Reijinga & Gert van der Kolk, Alert op risico, naar risk readiness in mensen en
organisaties, Vakmedianet, Deventer, 2014.
Cameron, K.S.& Quinn, R.E. Onderzoeken en veranderen van organisatiecultuur, gebaseerd op het
model van de concurrerende waarden. Den Haag: Sdu Uitgevers, 2011.
Cooperrider, D.L.& Srivastva, S. Appreciative inquiry in organizational life. Greenwich, CT: JAI Press,
1987.
Gratton, L. Zingeving in strategie. De mens als kloppend hart van de organisatie. Amsterdam:
Pearson Education Benelux, 2001 [Oorspronkelijke titel: Living Strategy, putting people at the heart
of Corporate Business].
Hillson, D.& Murray-Webster, R. Understanding and managing risk attitude. Farnham UK: Gower
Publishers, 2007.
ISO 31000:2009 Risk management. Principles en guidelines (ISO 31000:2009, IDT), Nederlandse
norm, ICS 03.100.01, december 2009.
ISO/TR 31004:2013(E), Riskmanagement - Guidance for the implementation of ISO 31000, First
edition 2013-10-15, Geneva Switzerland, 2013
ISO 31010:2009 Risk Management Techniques. International Electrotechnical Commission, Edition
1.0, 2009-11.
Kahneman, D. Ons feilbare denken. Amsterdam: Business Contact, 2011 [Oorspronkelijke titel:
Thinking, Fast and Slow].
Kaptein, M & Ph. Wallage. Assurance over gedrag en de rol van soft controls: Een lonkend
perspectief, Maandblad voor Accountancy en bedrijfseconomie, 2010
Klein, G. Performing a project premortem. Harvard Business Review, 85, nr. 9, 2007.
Kotter, J.P. Leading change. Why transformation efforts fail. HBR’s Must-Reads on change, Harvard
Business Review. Product 12599, www.hbr.org.
Meulen, I van der & J. Otten, Behavioural auditing: het onderzoeken van gedrag in organisaties. In
Audit magazine, nummer 1, maart 2013
Pink, D.H. Drive, de verrassende waarheid over wat ons motiveert. Amsterdam: Business Contact,
2010.
Pligt, J. van der & Harreveld, F. van. Emoties en risico’s, Bedrijfskunde, 3, 2002.
Revans, R. Action Learning op het werk, een gids voor managers. Amsterdam: Nieuwezijds, 2000
[Oorspronkelijke titel: ABC of Action Learning, Londen, Lemos & Crane, 1998]
Rijsenbilt, J.A. CEO Narcissism. Measurement and Impact. Erasmus Research Institute of
Management, ERIM, Doctoraal Scriptie, juni 2011.
Schlundt Bodien G.L. & Visser, C.F. Oplossingsgericht aan de slag. Grondhouding en techniek.
IJsselstein: Crystallise Books, 2011.
Tiggelaar Ben over Veranderpsychologie, Psychologische inzichten, slimme toepassingen, praktische
technieken, seminar Denkproductie, Bussum, 5 november 2013.
Weick, K.E. & Sutcliffe, K. Managing the unexpected, Resilient performance in an age of uncertainty.
San Francisco: Wiley & Sons, 2007.
Zolli, A.& Healy, A.M. Resilience. London: Headline, 2012.
14
15

Download Report