Voor iedere organisatie en ieder individu is het een onontkoombaar gegeven dat de wereld waarin wij leven en waarin wij zowel zakelijk als privé actief zijn in hoog tempo verandert en een steeds complexer karakter krijgt. Dat heeft een directe impact op mens en organisatie – het lijkt welhaast onmogelijk geworden om ‘bij te blijven’ met een voortdurende stroom van (nieuwe) trends en maatschappelijke, politieke, culturele, economische en technologische ontwikkelingen; laat staan om daarop te kunnen anticiperen. Bovendien is er die allesoverheersende factor tijd of beter gezegd het gebrek daaraan. We hebben immers geen tijd! De hectiek van de dagelijkse flow aan ‘things to do’ belemmeren overzicht op het geheel en plegen bij voortduring een aanslag op het stellen van prioriteiten en een praktische blik op onze horizon.
Door Erik H. van der Graaf – Business Development Manager Bureau Veritas Certification
Los van de vraag of er mogelijkheden zijn om te ontsnappen aan de waan van de dag – uiteraard zijn die er – schreeuwt de actuele en toekomstige context waarin we actief zijn meer dan ooit voor het nemen van tijd. Tijd om positieve risico’s (kansen) en negatieve risico’s (bedreigingen) te duiden, te prioriteren en aan te pakken. Daarbij dienen we ons af te vragen welke criteria en instrumenten we zouden moeten hanteren en wie we daarbij betrekken. Kortom, alle tijd voor risico’s …
Het ‘VUCA’ karakter (‘volatile, uncertain, complex and ambiguous’, hetgeen zoveel wil zeggen als ‘snel veranderend, onzeker, complex en vaag of dubbelzinning’) van onze wereld manifesteert zich dagelijks in de (internationale) samenleving en het bedrijfsleven. Met grote regelmaat komen in dat kader (relatief) nieuwe termen en thema’s voorbij, zoals ‘Asset Performance Management’, ‘Sustainability & Corporate Social Responsibility’, ‘Internet of Things’, ‘Big Data’, ‘Blockchain’, ‘Cyber Security’, ‘Privacy & Personal Data Protection’, ‘Business Continuity’, ‘Anti Bribary’ … de reeks lijkt oneindig en zwelt nog steeds verder aan.
Naast het (traditionele) speelveld van thema’s die – mede afhankelijk van de zakelijke en maatschappelijke context – een directe of indirecte rol van betekenis en relevantie vervullen in bedrijfsvoering, hebben zich in de laatste jaren maar ook recent nieuwe thema’s aangediend.
Behalve kwaliteit, milieu en gezondheid – tegenwoordig aangeduid als gezond & veilig werken – die de oorspronkelijke vaste kern vormden van ‘quality assurance’ zijn onder meer de aspecten informatiebeveiliging, energiemanagement, MVO, CO2-reductie, asset management, bedrijfscontinuïteit, anti-corruptie en recentelijk ook de bescherming van persoonsgegevens op de voorgrond getreden.
(TK) Risicomanagement 3.0
Bij het beschouwen van deze – ogenschijnlijke – jungle van thema’s schiet mij een Oudhollands cliché in gedachten: ‘Bezint eer gij begint’. Ondanks de eerbiedwaardige ouderdom van dit gezegde dat op het eerste gezicht alleen al daarom in tegenspraak lijkt met ons moderne tijdperk en alle modernisering en nieuwe technologie die nog in het verschiet ligt, ben ik van mening dat deze nuchtere wijsheid ook en vooral juist nu bijzonder actueel is.
Voorafgaand aan de vraag hoe het managen van risico’s – en daarmee het benutten van mogelijkheden en het terugdringen van bedreigingen – in de praktijk vorm en inhoud zou moeten krijgen (dat verschilt uiteraard en per definitie per organisatie) en met het onderliggende doel om continuïteit in bedrijfsvoering zeker te stellen, gaat het om een andere, fundamentele vraag. Want over welke risico’s hebben we het eigenlijk? Hoe relevant c.q. hoe waarschijnlijk is het dat ze zich zullen voordoen en welk effect zouden ze sorteren als ze zich voordoen? Dat vraagt om evaluatie en bezinning en daarmee zitten we op het spoor van risico-inventarisatie en -evaluatie. Gelukkig zijn er op dat vlak tal van methodes en modellen die zich lenen voor een unieke, organisatiespecifieke vertaalslag.
Vanuit deze – primaire – inventarisatie en evaluatie kan dan in de praktijk de exercitie worden doorgezet met onderliggend instrumentarium, zoals in de vorm van managementsystemen. Een praktische bijkomstigheid daarbij is dat met de introductie van de HLS (High Level Structure) elke generieke ISO-systeemmanagementnorm is toegespitst op het managen van risico’s en de normen zodanig zijn gestructureerd dat de inhoud qua systematiek op elkaar is afgestemd. Daarmee kunnen uiteenlopende aspecten – variërend van bijvoorbeeld kwaliteit tot aan informatiebeveiliging of van het managen van primaire bedrijfsmiddelen (asset management) tot aan het aspect van gezond en veilig werken – beter dan ooit op elkaar inspelen. Het permanent managen van risico’s wordt dan vervlochten in de bedrijfsvoering en de organisatiecultuur.
(TK) Multidisciplinaire kennisteams
Tegen deze achtergrond houden we dan nog een andere, evenzeer fundamentele vraag over. Is het reëel om te veronderstellen dat een adequate aanpak van nieuwe aandachtsgebieden verenigd kan worden in de rol van de traditionele QA- of QHSE-manager? De vraag stellen is hem beantwoorden, zo lijkt me. Uitzonderingen wellicht daargelaten vereisen de disciplines van bijvoorbeeld asset management en bescherming persoonsgegevens uiteenlopende kennis, competentie en ervaring. De complexiteit van de VUCA-wereld vraagt om een heroriëntatie waarin het managen van risico’s op andere, nieuwe thema’s wordt toevertrouwd aan multidisciplinaire kennisteams. Daarin kan de traditionele QA- of QHSE-manager nog steeds zijn of haar plaats hebben, echter in nauwe en directe samenwerking met experts op de nieuwe thema’s en – niet in de laatste plaats – met de hele organisatie. Risicobeheersing is tenslotte een organisatiebrede verantwoordelijkheid.
(Streamer)
“Risicobeheersing is tenslotte een organisatiebrede verantwoordelijkheid”