Risk management was tot voor kort spelbederver, maar staat nu weer bovenaan de prioriteitenlijst. Voor de basisbeginselen ging MT in de leer bij professor Jan van de Poel, hoogleraar risk management aan de Universiteit Maastricht, partner bij Berk Accountants en voormalig cfo van ABP.
Pak risico's bij de wortel aan door te testen en analyseren. Controleer op gezette tijden of systemen en apparaten nog naar behoren functioneren. Nu met een rollator tegen liftdeuren beuken, kan latere ongelukken voorkomen. En vraag je tot in de kleinste details af wat mis kan gaan. Is er bijvoorbeeld op enigerlei manier in te breken in het online betalingssysteem? Overweeg ook of veranderingen aan product of dienstverlening in het verkeerde keelgat kunnen schieten van de klant of de reputatie van het bedrijf schade berokkenen.
Trial & error
Schrijf niet alleen de geslaagde deals in de annalen – waar de meeste informatiesystemen zich toe beperken – maar registreer vooral ook de missers. Zijn er klachten? Welke opdrachten is het bedrijf misgelopen en waarom? Zo kom je behalve ontevredenheid bij klanten, ook mogelijke marktrisico's op het spoor. Denk aan stilletjes maar gestaag oprukkende concurrenten.
Leg het oor met regelmaat te luister bij de mensen van de werkvloer en neem hun signalen serieus. Zij zijn over het algemeen de eersten die dreigende operationele risico's – dat wil zeggen: haperingen in het productieproces – in de smiezen krijgen. Omdat zij niet als zeurpieten te boek willen staan, trekken zij lang niet altijd uit zichzelf aan de bel. In de zorg bijvoorbeeld zijn het de verpleegkundigen die als eerste een nijpend capaciteitsprobleem kunnen signaleren.
Licht het functioneren van de ict-systemen door, of laat dat doen door een externe it-auditor. Een must, gezien de toenemende afhankelijkheid van informatieverwerkende systemen. Wanneer het systeem crasht of verkeerde signalen afgeeft, kan dat funest voor de lopende business zijn. En vergeet niet de interne autorisatie. Riskante boel als bijvoorbeeld veel mensen binnen de organisatie naar believen aan de boekhouding kunnen sleutelen, omdat onderling met het grootste gemak toegangscodes worden uitgewisseld.
Kweek een cultuur waarin aandacht is voor risico door het beloningssysteem aan te passen. Daarin past niet louter belonen – zoals nu te doen gebruikelijk – maar ook afstraffen in geval van roekeloos gedrag. En beloon niet alleen de snelle deals, maar neem ook de lange termijn mee. Bijvoorbeeld door rekening te houden met de langere looptijd van het onderliggende contract.
Intern of extern?
Het management moet de kar trekken, maar binnen een organisatie moet iedereen zich scherp bewust zijn van mogelijke risico's, vindt professor Jan van de Poel. Gevaar van de aanstelling van een aparte risk manager is dat die alertheid verflauwt. Tijdelijke hulp van externe adviseurs lijkt daarom meer aan te bevelen. Een gespecialiseerd accountantskantoor is dan de aangewezen partij.
