Randvoorwaarden

Tijdens de interviews zijn vragen gesteld met betrekking tot de randvoorwaarden; cultuur, kennis, structuur en techniek. Omdat deze antwoorden niet te categoriseren zijn zullen citaten onderbouwen hoe het met de randvoorwaarden in organisatie X zit.

Cultuur

Uit de interviews blijkt dat op elk niveau in de organisatie men bewust is van risico’s. Toch wordt niet in alle gevallen de toegevoegde waarde van risicomanagement gezien. Tijdens veel interviews wordt gesproken over het feit dat organisatie X een professionele organisatie is. Daarmee bedoelt men dat de professionals, zich volledig en alleen richten op de primaire taak en risico’s horen daar automatisch bij. De volgende citaten illustreren dit goed:

“Tuurlijk zijn er risico’s maar er werken hier allemaal professionals. Ik weet heel goed wat risico’s zijn, dat gaan we niet allemaal opschrijven.”

54

“Wij doen geen systematische risicoanalyse, risico’s kunnen aan de orde komen in kwartaalrapportage als cijfers daartoe aanleiding geven. Wij denken niet echt in termen van risico’s. Wij gaan altijd uit van andere uitgangspunten waarbij risico’s hooguit meegenomen worden.

Tijdens een aantal gesprekken wordt gezegd dat men de toegevoegde waarde van risicomanagement wel ziet maar een aantal respondenten plaatsten ook kanttekeningen zoals:

“In deze veelheid van wat er allemaal moet zie ik daar nog niet zoveel ruimte voor. Waarom is het voor ons ontzettend noodzakelijk om hier mee bezig te gaan.”

Uit deze citaten kan opgemaakt worden dat bedrijfseconomische zaken vaak als bijzaak worden beschouwd. Risicomanagement is ook geen doel op zich, maar er is over het algemeen weinig draagkracht voor deze ‘bijzaken’. Controllers bij organisatieonderdelen A zijn over het algemeen wat positiever over de toepassing van risicomanagement.

Structuur

Rapportage over afspraken en de risico’s die daarbij horen zouden volgens de structuur van organisatie X moeten lopen van organisatieonderdeel B naar organisatieonderdeel A, die op hun beurt rapporteren aan de Raad van Bestuur. Wat in bijna alle interviews ongevraagd aan de orde komt is dat organisatieonderdelen B niet altijd het nut zien in het bestaan van organisatieonderdeel A. Ze proberen organisatieonderdeel A regelmatig te omzeilen door rechtstreeks contact te zoeken met de Raad van Bestuur. Daarnaast blijkt dat organisatieonderdelen B en organisatieonderdelen A in overleggen en vergaderingen vaak spreken over risico’s of problemen en mogelijke oplossingen. Twee citaten vanuit respectievelijk een organisatieonderdeel A en organisatieonderdeel B verwoorden dit:

“Ik wordt nog wel eens verrast, dat er dingen zijn afgesproken in de vrijdagmiddagcircuits”

“Dit kan in kwartaalrapportages gemeld worden maar ook in regelmatig onderhoud met de RvB komt dit aan de orde”.

Een hoofd van een organisatieonderdeel B geeft de volgende verklaring waarom risico’s niet gerapporteerd worden aan een organisatieonderdeel A:

55

“Gaat over primaire bedrijfsvoering van organisatieonderdeel B. Daar willen we ook niet over rapporteren aan organisatieonderdeel A, want organisatieonderdeel A is beheer en control orgaan. Dit is over de inhoud van het werk, daar gaat organisatieonderdeel A niet over.”

Uit deze citaten blijkt dat vastgestelde structuren voor overleg en rapportage niet altijd even goed worden nageleefd. Ook het feit dat de Balanced Score Card, zoals eerder gezegd, nog niet door alle organisatieonderdelen wordt gebruikt geeft aan dat men de structuren en afspraken niet altijd volgt. Het blijkt dat het moeilijk is om een bepaalde structuur af te dwingen binnen organisatie X. Daarnaast willen organisatieonderdelen B zelfstandig opereren en zij accepteren daarom niet altijd bemiddeling, ondersteuning of controle vanuit organisatieonderdeel A. De opgelegde structuur lijkt te botsen met de heersende cultuur waardoor risicomanagement niet optimaal functioneert.

Kennis

Tot nu toe zijn er aan de organisatieonderdelen B en organisatieonderdelen A geen specifieke trainingen, workshops etc. gegeven. Sommige controllers geven tijdens de gesprekken aan dat zij vanuit hun achtergrond en studie wel kennis hebben over risicomanagement. Enkele reacties die illustreren hoe het met de randvoorwaarde kennis is gesteld. De eerste twee komen vanuit organisatieonderdelen B, de derde is afkomstig van een organisatieonderdeel A.

“In ons veiligheidsmanagementsysteem staat dat we prospectieve risicoanalyse moeten doen maar daar hebben we ook nooit echt grip op gekregen. Geen instrument, we weten gewoon niet wat we daar moeten doen.”

“Risicomanagement is nu een kopje in de kwartaalrapportage, maar ik weet niet wat we daar nu moeten invullen. Waar gaat het om? Gaat het om financiële risico’s, inhoudelijke risico’s? Ik heb daar nooit goed antwoord op gekregen.”

“Nou nee, ik benader dat dan altijd maar een beetje vanuit mijn huis tuin en keuken verstand”

Uit deze citaten blijkt dat er onvoldoende kennis aanwezig is bij de respondenten om risicomanagement toe te passen. Dit kwam ook al naar voren tijdens de analyse van de verschillende risicomanagementaspecten. De verschillende organisatieonderdelen zijn zich er

56

bijvoorbeeld nog niet altijd bewust van dat risicomanagement een prospectief gebeuren is. De risico’s die gerapporteerd worden door, met name organisatieonderdelen A, doen zich soms al voor. Ook worden door weinig organisatieonderdelen beheersmaatregelen vastgesteld omdat zij naar hun mening geen invloed op de risico’s uit kunnen oefenen. Wanneer de kennis over risicomanagement beter was, zou men weten dat zij ook maatregelen kunnen nemen om de gevolgen zo veel mogelijk te beperken. Deze twee tekortkomingen zouden er niet zijn wanneer men voldoende kennis zou hebben over risicomanagement. Blijkbaar is er nog niet voldoende kennis beschikbaar op organisatie X niveau of wordt kennis niet adequaat overgedragen op de personen die verantwoordelijk zijn voor uitvoeren van risicomanagement binnen de verschillende organisatieonderdelen.

Techniek

Organisatieonderdelen B en organisatieonderdelen A komen aan informatie over bijvoorbeeld hun productie, financiële getallen en andere kengetallen door het systeem, genaamd COGNOS. Daarnaast kunnen zij door incidentmeldingen bepaalde patronen in meldingen herkennen. Zoals al uit de voorgaande paragrafen in dit hoofdstuk blijkt, gebruiken organisatieonderdelen B voor de registratie van de verschillende aspecten van het risicomanagementsysteem een spreadsheet waarin al deze aspecten aan de orde komen. Bij organisatieonderdelen A daarentegen zie je geen enkele manier van registratie van de verschillende aspecten van het risicomanagementproces. Organisatieonderdelen beschikken niet over de kennis en kunde om de verschillende risicomanagementaspecten overzichtelijk en op gelijke manier in systemen te registreren. Zij worden hier ook niet in ondersteund door bijvoorbeeld de ICT-afdeling.

6.3 Conclusie

In dit hoofdstuk is de vijfde deelvraag beantwoord:

“Hoe vindt rapportage over risicomanagement op dit moment plaats bij organisatie X?”

Een samenvatting van de scores van organisatieonderdelen A en organisatieonderdelen B is weergegeven in bijlage 6. In het kort volgt hier een algemeen beeld van het rapportage proces van organisatieonderdelen A en organisatieonderdelen B. De meeste organisatieonderdelen A hebben doelstellingen geformuleerd, geregistreerd en gerapporteerd. Risico’s worden door de meeste organisatieonderdelen A geïnventariseerd, niet geregistreerd en wel gerapporteerd. Risico’s

57

worden niet beoordeeld. Er zijn organisatieonderdelen A die beheersmaatregelen hebben vastgesteld, maar in de meeste gevallen niet voor alle risico’s. Evaluatie en bijsturing vinden niet aantoonbaar plaats. Ook organisatieonderdelen B hebben over het algemeen doelstellingen geformuleerd, geregistreerd en gerapporteerd, maar bij twee van de vijf is dit beperkt tot financiële doelstellingen . Daarnaast hebben zij ook risico’s geformuleerd en geregistreerd maar niet gerapporteerd. Risicobeoordeling en het treffen van maatregelen vindt ook plaats maar wederom zonder hierover te rapporteren. Evaluatie en bijsturing gebeurt niet aantoonbaar.

Financiële doelstellingen worden geregistreerd middels een begroting in het jaarplan. De manier waarop niet-financiële doelstellingen worden geregistreerd en gerapporteerd is divers. organisatieonderdelen B registreren de verschillende aspecten van het risicomanagementproces in spreadsheets. Organisatieonderdelen A hebben geen registratiemiddel maar rapporteren door middel van de kwartaalrapportage.

Het is gebleken dat de randvoorwaarden niet voldoende zijn ingebed bij organisatie X. Dit leidt ertoe dat risicomanagement niet optimaal functioneert. Dit komt overeen met de literatuur over risicomanagement, waarin al werd gesteld dat randvoorwaarden noodzakelijk zijn voor het functioneren van het risicomanagementsysteem. Zo worden bij organisatie X bijvoorbeeld bepaalde risicomanagementaspecten niet uitgevoerd. Dit heeft als gevolg dat interne rapportages over risicomanagement ook niet volledig zullen zijn. Structuren en afspraken zijn niet altijd duidelijk of worden niet nagekomen. Zoals uit de onvolledige invoering van de BSC blijkt, is imlementatie van nieuwe systemen en methoden niet zonder problemen. Het is daarom ook verklaarbaar dat risicomanagement niet goed is geïmplementeerd. Ook een gebrek aan kennis zorgt ervoor dat bepaalde aspecten niet juist en volledig worden uitgevoerd. Het is voor organisatie X noodzakelijk dat eerst aandacht besteed wordt aan de inbedding van randvoorwaarden voor risicomanagement alvorens men volledig en juist intern kan rapporteren over risicomanagement.