Voor bedrijven die voorzien in primaire levensbehoeften – zoals drinkwater – is het van bovengemiddeld belang om incidenten in de bedrijfsvoering te voorkomen. Uit onderzoek van adviesbureau ConQuaestor blijkt dat de Nederlandse drinkwatersector op het gebied van risicomanagement flinke stappen zet, maar het kan nog beter. In dit artikel wordt het belang van risicomanagement beschreven en een praktijkvoorbeeld gegeven van risicomanagement bij drinkwaterbedrijf Oasen. Tenslotte worden concrete handvatten meegegeven voor het succesvol implementeren van risicomanagement.
Download hier de pdf van dit artikel.
Een handzame definitie van risicomanagement is afkomstig van het internationale Committee of Sponsoring Organizations of the Treadway Commission (COSO). Volgens COSO is risicomanagement een proces dat bewerkstelligd wordt door het bestuur van de onderneming, het management en ander personeel. Risicomanagement wordt toegepast bij het formuleren van de strategie en binnen de gehele onderneming, ontworpen om potentiële gebeurtenissen die invloed kunnen hebben op de onderneming te identificeren en om risico’s te beheersen zodat deze binnen de risicobereidheid (of risk appetite) vallen, om een redelijke zekerheid te bieden ten aanzien van het behalen van de ondernemingsdoelstellingen [1]. Risicomanagement kan organisaties op diverse gebieden helpen. Zo biedt het ondersteuning bij het verwezenlijken van (strategische) doelen, kan het zorgen dat organisaties beter in staat zijn om te anticiperen op (ongewenste en gewenste) ontwikkelingen en geeft het input voor beter onderbouwde besluitvorming. Hierdoor kan de voorspelbaarheid van de resultaten op korte termijn vergroot worden. Daarnaast draagt het bij aan het verminderen van hokjesdenken door het managementteam (MT) van organisaties, waardoor efficiënter en transparanter wordt samengewerkt tussen verschillende onderdelen binnen een organisatie.
Drinkwatersector
Vergeleken met andere sectoren is er in de drinkwatersector op het gebied van risicomanagement nog veel winst te behalen. Hiervoor zijn verschillende mogelijke oorzaken aan te wijzen. Zo zijn volgens het Drinkwaterbesluit de drinkwaterbedrijven niet verplicht om risicomanagement toe te passen, zij worden alleen geacht periodiek een verstoringsrisicoanalyse uitvoeren. Hierin moeten alleen bestaande en te verwachten bedreigingen voor de openbare drinkwatervoorziening in hun leveringsgebied geïnventariseerd en geanalyseerd worden. Verder staat de huidige kwaliteit en leveringszekerheid van drinkwater in Nederland op een zeer hoog niveau. Hierdoor lijkt de behoefte aan risicomanagement minder urgent, terwijl de maatschappelijke en economische gevolgen van storingen in de drinkwatervoorziening zeer groot kunnen zijn.
Praktijkvoorbeeld: drinkwaterbedrijf Oasen
Oasen maakte al wat langer geleden kennis met risicomanagement. Deels door de verplichting in de Drinkwaterwet om periodiek een verstoringsrisicoanalyse uit te voeren. Anderzijds is Oasen van oudsher al een sterk risicobewuste organisatie die het belang van schoon drinkwater voor de volksgezondheid scherp op het netvlies heeft. Binnen Oasen werd risicomanagement daarom al een aantal jaren toegepast bij verschillende processen, al werden deze inspanningen niet expliciet risicomanagement genoemd. Daarnaast is Oasen zich er van bewust geworden dat risicomanagement een instrument is dat helpt (strategische) doelen te behalen. Nu risicomanagement zich breder heeft ontwikkeld, plaatst Oasen deze inspanningen onder de gezamenlijke noemer ‘risicomanagement’.
Risicomanagementmodel
Oasen heeft de nodige stappen gezet om risicomanagement nadrukkelijk verder in te bedden in de dagelijkse bedrijfsvoering en bij projecten. Een eerste stap is het samen met ConQuaestor ontwikkelen van een risicomanagementmodel (afbeelding 1). Dit model is gebaseerd op het COSO ERM raamwerk [2] voor risicomanagement. Het fundament van dit model wordt gevormd door drie kernwaarden van Oasen: volksgezondheid, duurzaamheid en maatschappelijk. Hiermee benadrukt Oasen dat in alle handelingen die Oasen verricht volksgezondheid, duurzaamheid en maatschappelijk leidend zijn [3]. Op dit fundament geeft het model de relatie weer tussen het risicomanagementproces, de bedrijfsprocessen en de verschillende categorieën van doelen van Oasen.
Afbeelding 1: Oasen risicomanagementmodel
Hoe werkt het model?
Risicomanagement start (normaliter) bij risicocultuur en –gedrag van de organisatie. Hieronder verstaan we de toon van de organisatie, de integriteit, normen en ethische waarden en de manier waarop risico’s worden beschouwd en aangepakt. Tevens wordt in het beginstadium nagedacht over de risk appetite, ofwel de mate van risicobereidheid van de organisatie [4]. In dit stadium legt het management ook doelen vast die zijn afgestemd op de missie en visie van de organisatie en die passen bij de gekozen risk appetite. Vanuit deze doelen worden er gebeurtenissen geformuleerd waarvan de risico’s worden geïdentificeerd en beoordeeld. De beoordeling van de risico’s vormt de input voor het bepalen van de wijze waarop er wordt gereageerd op risico’s. De reactie is afhankelijk van de eerder vastgestelde risk appetite. Deze risicobereidheid bepaalt vanaf welk niveau risico’s onaanvaardbaar zijn en verkleind moeten worden om doelrealisatie niet in de weg te staan. Vervolgens wordt bepaald hoe er opgetreden wordt tegen deze risico’s door het implementeren van risico-mitigerende maatregelen. Deze maatregelen worden beheersmaatregelen genoemd en worden periodiek gemonitord.
Integratie van risicomanagement in de organisatie
Binnen Oasen is er vervolgens naar een manier gezocht om de bestaande risicomanagementpraktijk en de nieuwe aspecten (zoals het hierboven beschreven risicomanagementmodel) te integreren in de bedrijfsvoering. Hiervoor moest er allereerst een aantal ‘werelden’ aan elkaar worden verbonden. Al snel werd duidelijk dat er behalve een geïntegreerde werkwijze ook een gemeenschappelijk taalgebruik moest worden ontwikkeld, zodat risicomanagement voor iedere medewerker duidelijk is.
Oasen merkte bijvoorbeeld dat de bestaande risicomanagementpraktijk niet expliciet aan de organisatiedoelen was gekoppeld en dat afdelingen elk op hun eigen manier met risico’s omgingen. Het waren vooral los van elkaar staande inspanningen. De nieuwe risicomanagementpraktijk is wel gekoppeld aan de doelen, maar zou bij invoering leiden tot weer een nieuw systeem om met risico’s om te gaan. Oasen wilde nu juist al zijn inspanningen op het gebied van risicomanagement integreren en zeker geen nieuw systeem creëren. Ook moest het bedrijf een manier vinden om zijn risicobereidheid, als belangrijk element van risicomanagement, te definiëren. Door uitgebreid met elkaar te discussiëren, en daarvoor ook de tijd te nemen, heeft het Oasen-management uiteindelijk risk appetite’s vastgesteld op het gebied van volksgezondheid, duurzaamheid en op maatschappelijk gebied (de kernwaarden van Oasen).
De daadwerkelijke integratie van risicomanagement in de interne organisatie vond uiteindelijk plaats via het Integraal Meerjarenplan (IMJP) 2013-2015. In dit IMJP heeft Oasen vanuit zijn missie en visie vijf thema’s vastgesteld, twee op het vlak van het primaire proces (I en II in afbeelding 2) en drie op het vlak van ondersteuning van het primaire proces (A, B en C in afbeelding 2). Binnen deze vijf thema’s zijn vervolgens de strategische doelen geformuleerd, die weer de basis zijn voor de jaarplannen van de verschillende afdelingen met daarin programma’s, projecten en regulier werk.
Afbeelding 2: Integraal Meerjarenplan Oasen
De concretisering en integratie van risicomanagement in het IMJP van Oasen wordt op twee manieren zichtbaar: in het gebruik van de vier sporen en in de risico-indicatoren
Vier sporen van risicomanagement
Langs vier sporen wil Oasen het rendement maximaliseren van risicomanagement als instrument voor doelrealisatie:
- Leren - Door ongewenste gebeurtenissen te evalueren, voorkomen dat dezelfde ongewenste gebeurtenissen opnieuw optreden.
- Oefenen - Door te oefenen wil Oasen voorbereid zijn op onvoorziene omstandigheden en de negatieve effecten daarvan beperken.
- Voorkomen - Door het uitvoeren van risicobeoordelingen staat Oasen vooraf stil bij onvoorziene omstandigheden die doelrealisatie in de weg kunnen zitten en worden hiervoor beheersmaatregelen getroffen. Het gaat hier om het inventariseren van risico’s in de normale bedrijfsvoering en projecten en het opstellen van beheersmaatregelen. De risico’s zijn gerelateerd aan de risico-indicatoren uit het IMJP en aan de projectdoelen.
- Voorspellen - Door het voorspellen van ongewenste gebeurtenissen, vaak met een extern karakter en mogelijk cumulatie-effect, anticipeert Oasen op onvoorziene omstandigheden die doelrealisatie negatief kunnen beïnvloeden. Deze betreffen meestal langetermijnrisico’s die ontstaan in de externe omgeving.
Niet elke ongewenste gebeurtenis is vooraf te bedenken, maar door te leren van een dergelijke gebeurtenis verkleint de kans dat deze zich nog een keer voordoet. Zo analyseert Oasen de oorzaak van veiligheidsincidenten en processtoringen en organiseert Oasen toolboxmeetings. Door te oefenen weten de medewerkers wat ze moeten doen als een ongewenste gebeurtenis plaatsvindt, bijvoorbeeld het uitvallen van een hoofdelement van het distributie- of het productieproces. Leren en oefenen is niet nieuw voor het bedrijf. De sporen ‘voorkomen’ en ‘voorspellen’ wel; die zijn ontstaan tijdens de recente implementatie van risicomanagement. Te voorkomen risico’s zijn bijvoorbeeld omstandigheden die zorgen voor budgetoverschrijdingen van projecten op operationeel niveau. Een te voorspellen risico’s is bijvoorbeeld de mogelijke schaliegaswinning, met negatieve effecten op de kwaliteit van het grondwater.
Het behalen van doelen met (risico-) indicatoren
Oasen hanteert hoofdindicatoren en risico-indicatoren om het behalen van de doelen te monitoren. Het halen van de doelen uit het IMJP wordt gemeten met behulp van hoofdindicatoren. Om te zorgen dat geen verrassingen optreden bij een hoofdindicator zijn aan elke hoofdindicator risico-indicatoren gekoppeld. Een risico-indicator heeft een voorspellende waarde met betrekking tot de hoofdindicator. Door te sturen op de risico-indicatoren kan eerder ingegrepen worden om te voorkomen dat een hoofdindicator niet gehaald wordt.
Afbeelding 3 geeft hiervan een voorbeeld. Een van de strategische doelen uit thema II Water is het in stand houden en verbeteren van de drinkwaterkwaliteit. Het realiseren van dit doel meet Oasen onder andere door het tellen van het aantal kwaliteitsklachten (de hoofdindicator). Het doel is om per jaar niet meer dan een vastgesteld aantal klachten over de drinkwaterkwaliteit ontvangen. Om niet verrast te worden door een overschrijding van dit aantal (dus het niet halen van het doel) gebruikt Oasen het aantal overschrijdingen van de bedrijfsnorm als risico-indicator.
Afbeelding 3: Hoofdindicatoren en risico-indicatoren
Oasen heeft voor deze risico-indicator een bepaalde waarde vastgesteld van een maximaal aantal overschrijdingen per maand. Wanneer de risico-indicator onder deze waarde blijft, wordt naar verwachting de hoofdindicator en dus het strategische doel gehaald.
Met behulp van de sporen drie en vier, ‘voorkomen’ en ‘voorspellen’, kijkt Oasen naar de belangrijkste risico’s die overschrijding van de vastgestelde waarde van de risico-indicator kunnen veroorzaken. Door beheersmaatregelen te nemen voor de belangrijkste risico’s blijft het aantal overschrijdingen van de bedrijfsnorm rond of onder de vastgestelde waarde. Zo stuurt Oasen met behulp van risicomanagement op het halen van zijn doelen.
Om risicomanagement een vast karakter te geven en te borgen dat het periodiek een plaats op de agenda heeft, is risicomanagement nadrukkelijk verankerd in de planning-en-controlcyclus van de organisatie. Per kwartaal wordt in de bedrijfsbrede managementrapportage over de stand van zaken met betrekking tot de hoofd- en risico-indicatoren gerapporteerd. In deze managementrapportage wordt ook verslag gedaan over de belangrijkste risico’s en over de effecten van de genomen beheersmaatregelen. Deze informatie deelt Oasen ook per kwartaal met zijn Raad van Commissarissen.
Hoe wordt het een succes?
Op basis van de ervaringen in ruim een jaar werken met risicomanagement als instrument voor doelrealisatie formuleerde Oasen de volgende vijf succesfactoren:
1. Aansluiting van risicomanagement bij de visie van de organisatie
In het begin van het risicomanagementproces wordt de risk appetite bepaald. Risk appetite is een belangrijke basis voor het verdere proces. Het bepaalt immers vanaf welk niveau risico’s niet meer aanvaardbaar worden geacht en wanneer dus actie moet worden ondernomen. Essentieel is daarom dat de risk appetite aansluit bij de visie van de organisatie en dat er draagvlak voor is. Oasen heeft gemerkt dat het belangrijk is voldoende tijd in te ruimen om met elkaar (management en hoofden) hierover van gedacht te wisselen. Oasen wil op duurzame, maatschappelijk verantwoorde wijze altijd drinkwater leveren aan zijn klanten en altijd van onberispelijke kwaliteit. De volksgezondheid staat daarbij voorop. Oasen heeft daarom zijn risk appetite defensief gedefinieerd. Dit houdt in dat Oasen in hoge mate beheersmaatregelen inzet om risico’s zoveel mogelijk te voorkomen.
2. Betrokkenheid van alle partijen
Oasen heeft geleerd dat het voor een succesvolle implementatie van risicomanagement noodzakelijk is dat alle betrokken personen, inclusief het managementteam, het nut en de noodzaak van risicomanagement inzien. Draagvlak bij iedere betrokkene is essentieel, zodat risicomanagement integraal kan worden geïmplementeerd. Bij Oasen werd risicomanagement in eerste instantie gezien als een standaard managementsysteem, waarvan het de vraag was hoe goed het zou werken. Het inzicht dat risicomanagement helpt om de doelen te bereiken heeft ervoor gezorgd dat nut en noodzaak nu breed wordt onderschreven.
3. Integratie van risicomanagement in de planning & control cyclus
Toen risicomanagement nog geen onderdeel uitmaakte van de planning–en-controlcyclus, kreeg risicomanagement maar bepaalde perioden van het jaar aandacht, zoals tijdens het opstellen van de jaarrekening. In deze perioden kostte het veel tijd en inspanning om de risico’s en beheersmaatregelen te updaten. Door risicomanagement te integreren in de planning-en-controlcyclus krijgt het een vast karakter en worden beheersmaatregelen periodiek getest. Zo werkt risicomanagement optimaal als instrument om de (strategische-) doelen te realiseren.
4. Vastleggen van taken, verantwoordelijkheden en bevoegdheden
Het beleggen van taken, verantwoordelijkheden en bevoegdheden ten aanzien van risicomanagement is cruciaal gebleken. Als risico’s geen eigenaar hebben, zal er in de aanpak niets mee gebeuren. Juist de lijn weet als geen ander welke risico’s de doelrealisatie kunnen bedreigen en welke maatregelen genomen moeten of kunnen worden om deze risico’s te verkleinen. Oasen heeft daarom de risicoverantwoordelijkheid nadrukkelijk in de lijn gelegd. Verder is er gekozen voor een aparte organieke functie voor risicomanagement. Dit genereert een constructieve spanning: waar de normale bedrijfsvoering ambitie-gedreven is stelt de risico-functionaris telkens weer de vraag wat doelrealisatie in de weg zou kunnen zitten. De risicofunctionaris heeft in de organisatie een onafhankelijke rol die het risicomanagementproces, volledig gecommitteerd, in goede banen kan leiden. Hij helpt de organisatie bij het uitvoeren van het proces en stimuleert de organisatie na te denken over mogelijke risico’s.
5. Risicomanagement interpreteren als een proces
Risicomanagement bestaat niet uit een eenmalige actie maar is continu proces. De interne omgeving verandert immers regelmatig, en ook de externe omgeving waarin het bedrijf opereert verandert. Bestaande risico’s veranderen mee en nieuwe risico’s ontstaan. Daarom is het essentieel dat risicomanagement een centraal onderdeel is van de bedrijfsvoering.
Risicomanagement: onderdeel van bedrijfscultuur
Risicomanagement maakt potentiële bedrijfsrisico’s inzichtelijk en beter in te perken. Tevens biedt het hulp bij het realiseren van strategische doelen en bij belangrijke beslissingsmomenten rondom investeringen en/of strategische keuzes. Op deze manier kan een maatschappelijk verantwoord beleid transparanter en nauwkeuriger uitgevoerd worden.
Oasen leerde dat het implementeren van risicomanagement een omvangrijk proces. Zowel tijdens de implementatie als in de dagelijkse praktijk daarna is grote zorgvuldigheid nodig om alle betrokkenen mee te nemen en vast te houden. Gelukkig dienden een aantal voordelen zich al tijdens de implementatiefase aan. Zo werd er al snel meer gecommuniceerd over de risico’s die de organisatie loopt en groeide het risicobewustzijn onder de MT-leden. Uiteindelijk wil Oasen bereiken dat risicomanagement een centraal onderdeel van de bedrijfscultuur is en routinematig wordt toegepast in ieder proces.
Literatuur
- Zie www.coso.org/-ERM.htm voor meer informatie over risicomanagement volgend de COSO ERM methodiek.
- Zie www.coso.org/ERM-IntegratedFramework.htm voor meer informatie over het COSO ERM raamwerk.
- Zie www.oasen.nl voor meer informatie over de kernwaarden van OASEN (pagina 8 van het IMJP).
- Het begrip ‘risk appetite’ wordt nader geoperationaliseerd in het RAVC ©-model van V. Gangadin. Zie hiervoor: Gangadin, V. 2014. White paper: Risk Appetite. Deze white paper is te verkrijgen via ConQuaestor.