Risicomanagement en gedrag: het is geen ‘tick in the box’

Risicomanagement is een handig hulpmiddel dat je organisatie helpt om grip te krijgen op de risico’s zodat de bedrijfscontinuïteit kan worden gewaarborgd. Afhankelijk van de grootte, complexiteit en capaciteit van je organisatie bepaal je hoe je risicomanagement in gaat regelen. Hoe dan ook: risicomanagement gaat hand in hand met gedrag van mensen. Sterker nog: het gedrag van mensen is cruciaal binnen het thema risicomanagement. De kunst is bewerkstelligen dat mensen onbewust die dingen doen waarmee operationele risico’s worden vermeden. Maar hoe krijg je dat als organisatie voor elkaar? Wat zijn de zaken waar je mee moet beginnen? In dit artikel vertellen we je daar meer over. 

Risicomanagement is een middel (geen doel) waarmee je jouw organisatie naar een hoger plan kunt tillen. Risicomanagement doe je dan ook omdat het toegevoegde waarde oplevert voor je organisatie en niet omdat het ‘moet van ISO. Dat betekent dat je niet vanuit de norm moet denken, maar juist vanuit het principe van risico-gebaseerd denken: hoe ontwikkelen risico’s zich en hoe kan de organisatie daarop inspelen?

Wanneer je daar een gedegen structuur omheen bouwt, levert het je organisatie veel meer op dan enkel het invullen van modellen of het volgen van de norm. Risicomanagement is namelijk geen simpele invuloefening van documenten en spreadsheets. Risicomanagement draait om het gedrag van mensen. Je moet zien te bewerkstelligen dat mensen binnen je organisatie die dingen doen die nodig zijn om de geïdentificeerde risico’s niet te laten optreden.

Met grote regelmaat zie je dat men, met het oog op risicomanagement, prachtige documenten en tot in detail uitgewerkte procedures heeft ingericht, maar dat deze nauwelijks invloed hebben op de werkvloer. Mensen die het werk daadwerkelijk verrichten weten vaak niet eens van het bestaan van de documentatie, laat staan dat ze er rekening mee houden in hun werkzaamheden.

Hoe zorg je er dan voor dat mensen op de werkvloer wel (on)bewust bezig zijn met risico’s vermijden? Door te kiezen voor een bottom-up benadering. Dat betekent dat je mensen die het werk verrichten actief betrekt bij risicomanagement. Zij zitten immers in de dagelijkse operatie en kunnen dus de risico’s als beste inschatten. Door hen actief te betrekken bij de aanpak, wordt de kans dat ze de werkzaamheden ook daadwerkelijk zo gaan uitvoeren vele malen groter dan wanneer je hen regels oplegt.

Wanneer mensen op de werkvloer (mede) kunnen bepalen hoe het werk georganiseerd moet worden en wat de afspraken zijn worden ze in staat gesteld om gewenst gedrag op een laagdrempelige manier te integreren in het dagelijks werk. Simpelweg door ze niet te zeggen hoe ze moeten werken, maar door hen te vragen hoe ze willen werken. Op die manier komt het automatisch onder de aandacht op de werkvloer en doen mensen die dingen die nodig zijn om geïdentificeerde risico’s niet te laten optreden.

Zoals hierboven omschreven: risicomanagement is geen papieren exercitie, maar draait om het gedrag van mensen. Betekent bovenstaande dan dat je mensen compleet de vrije hand moet geven? Nee! Je moet mensen natuurlijk wel kaders bieden en richting geven en uiteraard moet je daar een bepaalde set aan managementtools omheen bouwen voor bijvoorbeeld een stuk registratie en evaluatie. De kunst is echter om vervolgens geen regels en protocollen voor te schrijven en op te leggen, maar juist om samen te ontdekken. Mensen vertrouwen en bevoegdheid geven, hen zelf ermee bezig laten zijn en hen zelf zaken vast laten leggen. Idee is dat mensen zich eigenaar voelen van een probleem of situatie. Dat creëert risicobewustzijn. In elk geval meer dan wanneer je een pak documenten neerlegt in de veronderstelling dat mensen ze gaan lezen, daarnaar gaan leven en daarop worden afgerekend.

Wanneer je mensen eigenaar maakt en hen zelf met risicomanagement aan de slag laat gaan binnen bepaalde kaders, gaat dan alles goed? Nee, natuurlijk niet. Mensen maken nu eenmaal fouten. Wat voor methode je ook kiest, het verhindert nooit dat mensen fouten maken. Dat komt doordat prestaties van mensen en de manier waarop zij in de wedstrijd zitten worden bepaald door gedrag. Gedrag wordt weer bepaald door de context waar iemand in opereert. Die context bestaat uit een heleboel factoren zoals bijvoorbeeld de opdracht of taak die je uitvoert, de procedures die daarbij horen, de modellen die je organisatie stelt, maar ook factoren zoals werkdruk, motivatie etc.

Het is een utopie dat je al die factoren die een rol spelen in die context kunt controleren. Toch draaien vrijwel alle systemen en modellen die we in organisaties toepassen om het beïnvloeden of controleren van bepaalde aanleidingen. De gedachte is dat je daarmee gedrag kunt beïnvloeden, maar dat is niet (helemaal) waar. Gedrag wordt, zoals hierboven omschreven, beïnvloedt door de context, maar vooral ook door de consequenties. Mensen die zich bewust zijn van de consequenties gaan zich anders gedragen.

Heeft het dan zin om allerlei regels en protocollen op te stellen die aanleidingen beïnvloeden? Nee dus. Het gaat er juist om dat je gezamenlijk nadenkt over een set aan regels, protocollen en modellen en enkel die zaken opneemt in je systeem die ook daadwerkelijk iets toevoegen en bijdragen aan je doel(en). Dergelijke doelen kunnen zijn ‘waarde naar de klant’, ‘zinvolle processtappen’ en/of ‘beheersing van operationele risico’s, veiligheidsrisico’s ed.’. De truc is om alle onnodige ballast uit je systeem te slopen door enkel die informatie boven tafel te halen die je echt wilt weten en waarmee je ook echt iets kunt ter verbetering. Vraag gewoon eens aan mensen binnen je organisatie van welke zaken ze dagelijks veel ‘last’ hebben en die naar hun idee geen waarde toevoegen? Hoe vaak wordt de informatie echt gebruikt?

Wanneer het bijvoorbeeld draait om ‘veilig(er) werken’ zie je regelmatig dat organisaties gaan standaardiseren en grijpen naar geijkte methodes. Zo is er een standaard voor werkdocumenten, wordt er gewerkt met apps voor het melden van ongevallen en incidenten etc. Dat werkt natuurlijk wel tot op zekere hoogte, maar niet in het kader van risicomanagement. Waarom niet? Vraag dat eens aan de mensen die er dagelijks mee werken. Hebben zij het idee dat al die documenten en regels kwalitatief betrouwbare informatie opleveren? Hoe is de meldingsbereidheid van mensen (op de werkvloer)? Wat is de kwaliteit van de meldingen? Wat wordt er vervolgens met al die informatie gedaan in het kader van verbeteren van de veiligheid op de werkvloer?

Punt is dat we binnen organisaties vaak druk zijn met audits, inspecties en controles. We zorgen dat alle vinkjes netjes gezet zijn en dat er een mooie analyse in Excel wordt gemaakt waarin alle trends zichtbaar zijn. Wanneer je die informatie bekijkt, dan concluderen we in de meeste gevallen echter dat er niet zo heel veel aan te merken is op de manier van werken. Er zijn weinig ongevallen, weinig trends zichtbaar en als ze er wel zijn dan is het doorgaans ‘niets bijzonders’. Wanneer je daar goed naar kijkt dan kom je tot de conclusie dat dergelijke inspecties vooral worden gedaan omdat het moet. Eigenlijk zijn we druk met het managen van uitzonderingen. Waarom doen we dat? Omdat het ‘moet van ISO’? Of omdat we die informatie oprecht willen weten?

Wanneer we praten over risicomanagement, dan komt het er bij veel organisaties op neer dat men plichtmatig dezelfde riedeltjes afdraait om maar de ‘tick in the box’ te kunnen geven. Vervolgens wordt alles netjes gearchiveerd en is het afgerond. Dat draagt natuurlijk niet bij aan risicobeheersing. Sterker nog: mensen op de werkvloer weten vaak niet eens dat er audits of inspecties hebben plaatsgevonden, laat staan dat zij daarin een rol hebben gespeeld. Wat zij vooral merken is dat ze ‘gestraft’ worden omdat ze zich niet aan de procedure hebben gehouden. Terwijl die procedure niet aansluit bij de manier waarop het werk wordt uitgevoerd en dus niet realistisch is. Mensen op de werkvloer hebben daar geen stem in gehad. Het is hen opgelegd. Eén van de redenen waarom risicomanagement vaak negatieve associaties oproept.

Essentie van dit artikel is dat risicomanagement ontastbaar en daarmee moeilijk te vangen is. Het is namelijk geen ‘tick in the box’. Wat in ieder geval als een paal boven water staat, is dat de rol en het gedrag van mensen en de verantwoording die je bij mensen legt, cruciaal is met betrekking tot risicomanagement. Opvallend daarin is dat mensen die op een ‘goede’ manier met risicobeheersing omgaan, dat niet bewust maar juist onbewust doen. Vanuit intrinsieke motivatie en opererend in de juiste mix van cultuur, mensen en mindset. In dergelijke organisaties heerst doorgaans een flow die draait om vriendschap en betrokkenheid.

Wil je meer weten over risicomanagement of wil je binnen jouw organisatie aan de slag met de juiste aanpak? Neem dan gerust contact met ons op. Onze adviseurs helpen je graag op weg!