Project Eerst kiezen, dan delen: Risicomanagement is mensenwerk

E-mailadres Afdrukken

Onderwijsinstellingen opereren in een dynamische omgeving, moeten voldoen aan hoge verwachtingen en dragen verantwoordelijkheid voor een schitterende, maar complexe dienst: het verzorgen van hoogwaardig onderwijs. Ze zullen bij dit alles onvermijdelijk risico’s lopen. Risico’s die vaak niet te vermijden zijn en zonder tegenmaatregelen soms een verlammend effect hebben op de beslis- en innovatiekracht van een instelling. Een goed doordacht risicomanagement is   daarom een must.

Het middel en de kwaal

Binnen het project Eerst kiezen, dan delen wordt dan ook extra aandacht gegeven aan het verspreiden van kennis over risicomanagement en wordt gewerkt aan de ontwikkeling van een voor vele instellingen bruikbare methode. Het gaat bij die methode zeker niet alleen om financiële risico’s en het afdekken van dergelijke risico’s met behulp van reserves. En toepassing van de methode mag zeker niet leiden tot een aangroei van de bureaucratie binnen een instelling. Risicomanagement is wat anders dan het ‘dichtregelen en uitsluiten’. De laatstgenoemde aanpak is immers een middel dat wellicht erger is dan de kwaal.

In control

Risicomanagement moet een belangrijke bijdrage leveren aan het ‘in control zijn en blijven’. Maar wat houdt dat risicomanagement in? Gaat het hierbij bijvoorbeeld alleen om financiële risico’s of reikt de blik verder. En wanneer is men eigenlijk ‘in control”? Risicomanagement houdt zich bezig met het identificeren, kwalificeren en kwantificeren van risico’s en moet er voor zorgen dat men regelmatig en systematisch kan nagaan of deze risico’s daadwerkelijk worden beheerst. Het gaat bij dit alles om risico’s die van belang zijn voor realiseren van strategische, operationele en financiële doelstellingen en de blik gaat dus veel verder dan het zuiver financiële.

Het begrip ‘beheersingssysteem’ zet u wellicht op het verkeerde been. Het gaat hier bijvoorbeeld niet om een diagnosemodel, om één specifieke techniek of analyse. Het gaat om een passend geheel van beleidsmaatregelen, processen, taken en gedragingen die samen de onderwijsinstelling beter in staat stellen om te reageren op belangrijke risico’s. De reacties zorgen ervoor dat de belangrijke beleidsdoelen kunnen worden verwezenlijkt en dat interne afspraken en wettelijke spelregels worden nageleefd.

Het geheel van maatregelen, processen en gedragingen moet maken dat men op de onderstaande dimensies grip heeft en houdt:

  1. Strategische beheersing. Risico’s die kunnen maken dat de organisatiedoelen niet worden bereikt, worden gesignaleerd, geanalyseerd en beheerst.
  2. Operationele beheersing. De organisatiedoelen zijn goed uitgewerkt en gekoppeld aan processen, medewerkers en scholen. Op vele plekken in de organisatie zijn individuen en groepen vervolgens verantwoordelijk voor het bereiken van de aan de hen gedelegeerde doelen met de aan hen ter beschikking gestelde middelen. De mate waarin dit met succes gebeurt, wordt tijdig en frequent in beeld te worden gebracht en waar nodig worden bijgestuurd.
  3. Normbeheersing. De organisatie als geheel en al haar individuele leden houden zich bij hun op doelverwezenlijking gericht handelen aan de intern of extern vastgelegde of als aanvaardbaar beschouwde normen. Het gaat erom dat alle leden van de instelling weten waar de organisatie voor staat en wat de “do’s en don’ts” zijn.
  4. Verantwoordingsbeheersing. Deze beheersing staat garant voor de juistheid, volledigheid en tijdigheid van de informatie die door de instelling intern gebruikt wordt en/of naar buiten wordt gebracht. Het gaat om informatie over de strategie, de activiteiten en de interne beheersing zelf.

Alle activiteiten en middelen die helpen bij het bereiken van de bovenstaande beheersingsniveaus zijn “instrumenten van interne beheersing” en zorgen dat een organisatie ‘in control’ komt.

Modellen, instrumenten en mensen

De invoering van lumpsum en de cumulatie van bezuinigingen hebben geleid tot aandacht voor met name financiële risico’s. Het werkgeverschap en de materiële exploitatie brengen zorgen met zich met mee en een groot aantal risicomanagementinstrumenten is dan ook gericht op het tijdig ontdekken en kwantificeren van die risico’s.

Met behulp van deze instrumenten is de gebruiker in staat om deze risico’s in geld uit te drukken en hun omvang bijvoorbeeld af te zetten tegen de binnen de onderwijsorganisatie beschikbare financiële buffers. Ook de groeiende aandacht voor administratieve organisatie en het helder vastleggen van allerlei procedures hangt nauw samen met de komst van lumpsumfinanciering, schaalvergroting, de groeiende verantwoordingsplicht en daarmee samenhangende zorgen over financiële grip.

Personele en financiële risico’s vragen natuurlijk om beheersing. Een te eenzijdige focus op deze risico's en op diagnosemodellen kan er echter toe leiden dat men de belangrijkste taak van risicomanagement uit het oog verliest, namelijk het ontdekken en beheersen van alle belangrijke risico’s die de verwezenlijking van de beleidsdoelen in de weg staan.

De PO-raad heeft aan PWC de opdracht gegeven om in het kader van het project Eerst kiezen, dan delen een risicomanagementmethode te ontwikkelen die stilstaat bij dergelijke ‘doelstellingbedreigende factoren’ en dus vooral aandacht geeft aan wat het verwezenlijken van doelen belemmert. In maart 2012 zal deze methode ter beschikking komen en kan iedereen kosteloos gebruikmaken van die methode. Kenmerk van de methode is ook dat de gebruiker concrete adviezen ontvangt over de mogelijkheden om een gesignaleerd risico te vermijden of te beheersen en bij dit alles niet telkens terugvalt op risicobuffering door het aanhouden of vergroten van reserves. Het komt namelijk nog te vaak voor dat men risico’s vooral denkt te moeten opvangen met vermogen.

Risicomanagement vraagt overigens om meer dan alleen de toepassing van een methode. Emanuels, hoogleraar Risicomanagement, RU Groningen, spreekt van harde en zachte randvoorwaarden die in belangrijke mate bepalen of er überhaupt iets terecht komt van risicomanagement. Die randvoorwaarden maken duidelijk dat risicomanagement mensenwerk is en blijft.

Harde randvoorwaarden

Risicomanagement vraagt om een organisatiestructuur waarin leidinggevende, uitvoerende en controlerende taken niet ongewenst door elkaar lopen. Het moet duidelijk zijn wie wanneer wie, wanneer, welke taken heeft. Ook moet iedereen over voldoende kennis en ervaring beschikken om de aan hem opgedragen taken naar behoren uit te voeren. En verder moet er, zeker in de grotere onderwijsinstellingen, een informatie- en rapportagesysteem zijn dat zorgt voor zicht op de totale organisatie. Het gaat erom dat het management van de instelling kan controleren of de afgesproken beheersingsmaatregelen ook daadwerkelijk worden uitgevoerd.

In de praktijk wordt aan deze voorwaarden niet altijd voldaan. Het rapportagesysteem laat bijvoorbeeld vaak te wensen over. Het is nu eenmaal niet eenvoudig om de noodzakelijke informatie vast te stellen en er vervolgens voor te (laten) zorgen dat die informatie ook regelmatig en tegen dragelijke kosten boven tafel komt. De meeste onderwijsinstellingen hebben een belangrijk gedeelte van hun informatievoorziening uitbesteed en zijn in dat opzicht soms te afhankelijk van wat de externe dienstverlener kan en wil aanleveren.

Ook is de noodzakelijke kennis en ervaring niet altijd op ieder niveau in organisatie toereikend. Het is natuurlijk niet nodig om alle kennis op ieder detailniveau in eigen huis te hebben. Toch zal iedereen in staat moeten zijn om of zelf taken naar behoren uit te voeren of kundig toe te zien op de gedelegeerde uitvoering door anderen. Delegeren en uitbesteden is alleen verantwoord wanneer men zelf in staat is om de kwaliteit van het door anderen geleverde goed te doorzien. Delegatie en uitbesteding zijn dus geen oplossing voor het vergaand ontbreken van vakkennis en ervaring.

Zachte randvoorwaarden

Risicomanagement wordt een dode letter wanneer medewerkers en management zich niet echt geroepen voelen er de schouders onder te zetten. Maar al te vaak gaat het met veel bazuingeschal opgestarte risicomanagement na enige tijd als een nachtkaars uit. Het blijft dan een eenmalige en dus weinig zinvolle exercitie. Men blijft steken in een diagnose, in instrumenten en technieken en medewerkers ervaren het vaak als ronduit bureaucratisch geheel. Beheersing lijkt een doel op zich geworden en geen middel.

Risicomanagement gaat alleen werken wanneer medewerkers het belang van gestelde beleidsdoelen onderkennen en bereid zijn om verantwoording af te leggen over de manier waarop ze aan de verwezenlijking van die doelen. Die bereidheid zal o.a. afhangen van de cultuur en met name van de manier waarop de organisatie omgaat met het maken van fouten. In een cultuur waarin fouten continu worden afgestraft en successen niet worden gevierd zal de wil om betrouwbare verantwoordingsinformatie aan te leveren snel afnemen.

De Code Goed Onderwijsbestuur en de nieuwe richtlijnen Jaarverslag Onderwijs bevatten een uitnodiging om als bestuur werk te maken van beheersingssystemen en risicomanagement en daarover verslag uit te brengen in het jaarverslag: Het bestuur voert beleid wat betreft risicomanagement, geldbeheer, financiering en belegging. Het bestuur verantwoordt de uitvoering hiervan in het jaarverslag. In meerdere onderwijssectoren geldt inmiddels een branchecode (Governance Code). Daarbij is afgesproken dat het bestuur van de instelling zorgdraagt voor een goed functionerend intern beheersings- en controlesysteem. Daarover kan in het jaarverslag worden gerapporteerd op grond van artikel RJ 660.406. Het is aan het bestuur zelf om uitvoering te geven aan activiteiten die nodig zijn om een inventarisatie te maken van de noodzakelijke beheersingssystemen en toe te zien op de implementatie, de werking en de evaluatie daarvan. Als het bestuur van mening is dat de interne beheersings- en controlesystemen adequaat zijn kan zij een zogeheten ‘in control statement’ opstellen en in het jaarverslag opnemen.

Sommige organisaties weten ook geen maat te houden en leggen ongewild een te sterke druk op verantwoordelijkheid en verantwoording. Het afleggen van verantwoording verwordt dan tot een dagtaak en men is meer bezig met die verantwoording dan met het echte werk. Zeker in grootschalige onderwijsinstellingen is soms sprake van een omvangrijke interne bureaucratie.

Risicomanagement moet zorgen dat risico’s die doelverwezenlijking in de weg staan worden aangepakt. Alleen dat besef maakt risicomanagement de moeite waard. Het behalen van doelen moet iedereen een lief goed zijn want anders gaan de nadelen van risicomanagement (bijvoorbeeld: een zekere mate van bureaucratisering) zwaar wegen en stroomt de animo om zich iets gelegen te laten liggen aan procedures en protocollen snel weg. Medewerkers moeten zich innerlijk verbonden weten aan de doelen. Zonder een dergelijk draagvlak wordt risicomanagement een lege huls.

In combinatie met de inzet van risico-instrumenten zorgen de harde en zachte randvoorwaarden voor een bruikbaar fundament voor risicomanagement. Dat risicomanagement beperkt zich natuurlijk niet tot het identificeren van risico’s en het beoordelen van die risico’s op omvang en waarschijnlijkheid. De inzet van diagnose-instrumenten en brainstormsessies zorgen ervoor dat allerlei risico’s boven tafel komen. Het vervolgens wegen van deze risico’s (omvang en waarschijnlijkheid) leidt vervolgens tot een bruikbare ranglijst van de meest belangrijke risico’s. En daarna begint de speurtocht naar manieren om succesvol met deze risico’s om te gaan.

In de tussentijd

Het duurt nog enige tijd voordat de nieuw ontwikkelde methode beschikbaar komt. U hoeft echter niet te wachten op dat moment. Er leiden meer wegen naar Rome en ook vandaag zijn al er risicomodellen die in meer of mindere mate gericht zijn op het ontdekken van kritische succesfactoren en een link leggen tussen risico’s en organisatiedoelen.
Kijk in ieder geval eens opnieuw naar de risico’s die binnen uw organisatie aandacht krijgen en ga na of juist die risico’s voor de verwezenlijking van uw doelen van doorslaggevend belang zijn. U kunt zich vervolgens de vraag stellen door welke handelingen die risico’s aangroeien of juist kleiner worden en welke rol uw medewerkers bij dit alles moeten en willen spelen.

Verder verwijst ‘in control zijn’ niet naar een toestand op enig moment, maar naar een continu doorlopende proces, gericht op het ontdekken en beheersen van risico’s. Ga met behulp van de onderstaande kenmerkenlijst nog eens na hoe uw organisatie scoort. Organisaties die werk maken van het “in control zijn” kenmerken zich door:

  1. Heldere en door alle betrokkenen als waardevol ervaren doelen;
  2. Het breed gedragen besef dat risico’s de verwezenlijking van die doelen kunnen belemmeren en de wens om die risico’s samen te identificeren;
  3. De beschikbaarheid van systemen, tools en werkvormen om die risico’s te kunnen rangschikken op basis van hun impact en waarschijnlijkheid;
  4. Het beheersen van deze risico’s door ze te vermijden, accepteren, beperken of over te dragen;
  5. Het regelmatig evalueren van het succes van die beheersingsmaatregelen en het waar nodig aanpassen van die maatregelen;
  6. De aanwezigheid van een klimaat, een cultuur waarin fouten niet bij voorbaat taboe zijn en medewerkers tekortkomingen durven en willen melden zodat nieuwe risico’s tijdig worden ontdekt of oude risico’s beter kunnen worden aangepakt.

Deel dit artikel op:

 

Trefwoorden

Advertentie

Advertentie

Advertentie

Advertentie

September uitgave

Partners