De toegevoegde waarde van risk readiness in ISO 31000:2009 White paper 3rd International Conference 2014 on ISO 31000 The Global Institute for Risk Management Standards New York City 14-15 Juli, 2014
Thinka Bor-Reijinga
1
Samenvatting De toegevoegde waarde van ISO 31000 als compleet risico(proces)managementkader wint aan kracht als een meer verifieerbare aanpak wordt geboden, gebaseerd op de Principes h en i in hoofdstuk 3 en een uitwerking van § 4.3.5 Middelen "Personeel, vaardigheden, ervaring en bekwaamheid" en "Trainingsprogramma's". Werkend leren en risk readiness bieden een anker om deze kritieke succesfactoren te concretiseren. Kennis en vaardigheden zijn de te versterken schakels in het handelen van professionals. De krachtigste prikkel naast kennis, (risico)bewustwording en inzicht - is ervaringsleren. Aangenomen dat het mandaat tijd en gelegenheid geeft aan het lijnmanagement en professionals, maakt een meerjarig georganiseerede vorm van werkend leren een effectieve manier om nieuwe kennis en vaardigheden op te doen in het dagelijkse werk. [120 woorden]
Index / trefwoorden [Action Learning, ALERT, competence, experience, hard controls, high reliability organizations, MAP, organizational readiness, organizational mindfulness, positive asymmetry, pre mortem analysis, Principles (Clause 3), Resources (§ 4.3.5), proficiency, risk awareness, risk culture, risk readiness, risk survey, skills, soft controls, SWIFT, training programmes]
2
De toegevoegde waarde van risk readiness in ISO 31000:2009 Een levendige gedachtenwisseling op het G31000-LinkedIn forum, gestart door Jacquetta Goy over 'Risk culture, what does it mean? Does it matter?' bood zicht op de veelheid aan opvattingen en interpretaties van risicocultuur. Deze vorm van crowdsourcing toont aan dat het framework een breed platform biedt voor kennisuitwisseling. Nut en noodzaak van inbedding van een risicocultuur, zo bleek, wordt alom omarmd. Toch blijft inbedding ervan zendingswerk. De praktijk toont aan dat risicomanagement ambivalentie oproept. Risicomanagement kampt met dubbelzinnigheid, met onrealistisch optimisme (positive asymmetry) of met de verzuchting dat het 'corvee' blijft. Toegegeven, de technisch-procedurele implementatie is stukken eenvoudiger dan de bijbehorende gedrags- en cultuurverandering. Toch zit er veel toegevoegde waarde in de gedragsaspecten van ISO 31000. In ISO 31004:2013 wordt een schoorvoetende poging gedaan tot een eerste implementatieadvies. Dat leidde onmiddellijk tot een polemiek over wat deze gidsprincipes bijdroegen aan wat er al was (HB436:2004)! De vraag is of we moeten blijven polemiseren. Continue onderzoek naar en kennisuitwisseling over hard en soft controls is juist de moeite waard. Dit getuigt van een lerende houding. Deze paper beoogt een gedachtenwisseling op gang te brengen en een handreiking te doen hóe de menselijke en cultuurfactoren in hoofdstuk 3 en in § 4.3.5 met behulp van risk readiness, werkend leren (Action learning), met een risk survey en met ALERT zouden kunnen worden geoperationaliseerd.
De niet-tastbare principes van ISO 31000 De innovatieve waarde van het framework zit in de eerste pijler Principes (hoofdstuk 3). Deze elf principes zijn een novum. Van deze principes behoeft de menselijke en cultuurfactor (onder h) een goed georganiseerde verbinding tussen methodologie, instrumentatie en een organisatorische touch, waar diverse referentiekaders en subculturen in een organisatie van zich doen spreken. Ook transparantie en inclusie kunnen geconcretiseerd worden in instrumentatie en in actie. Dat deze principes slechts beperkt zijn geoperationaliseerd is begrijpelijk want zij gaan over niet tastbare kenmerken van houding, gedrag en vaardigheden. ISO31000 bevat weliswaar gedragsaspecten, zij het slechts impliciet. De zachtere kanten van het implementatieproces worden gelardeerd met toepassingssuggesties in ISO31004:2013. Om die redenen ogen ontwikkeling en internalisatie van kennis en vaardigheden wat flets. Het gaat om het vergroten van de bekwaamheid om het effect van onzekerheid en risico adequaat het hoofd te bieden. Voor het welslagen van de operationalisatie is het belangrijk hoe we ons gedrag en vaardigheden kunnen actualiseren en hoe we de condities in ons dagelijkse werk kunnen scheppen om te leren en te oefenen. Paragraaf 4.3.1 noemt 'de relaties met, en percepties en waarden van,
3
interne belanghebbenden en de cultuur van de organisatie'. Behalve systeem- en structuuringrepen vraagt institutionalisering om krachtige prikkels , nodig om de gewenste cultuur- en gedragsverandering te verwezenlijken. Het combineren van kennis, ervaring, vaardigheden en bekwaamheid in het risicomanagementdomein vereist sturing1.
Figuur 1: Soft control-principes
De gedragsparadox van risicomanagement Om tot cultuur- en gedragsverandering te komen is extra inspanning nodig. Dat legt meteen een open zenuw bloot. Empirisch onderzoek2 wijst uit dat het beschikken over kennis en deze effectief omzetten in vaardigheden onverbrekelijk met elkaar verbonden zijn. Ook zijn er aanwijzingen dat inspanningen om tot ontwikkeling van de benodigde competenties te komen niet het gewenste effect sorteren. De autonome professional onttrekt zich in het algemeen aan top down opgelegde 1
Bemoedigend is dat inclusief leiderschap plus een continue sturende en normerende boodschap wel degelijk blijken te werken, ook bij naar autonomie strevende professionals. Uit onderzoek naar de kritieke succesfactoren van Maasvlakte 2 is gebleken dat een combinatie van sturing op hard en soft controls in combinatie of elk afzonderlijk het verschil hebben gemaakt. Uit: Bor-Reijinga, T. De risicobeheerssystematiek van Projectorganisatie Maasvlakte 2. De Risk Readiness van een Best Practice. Thesis Master Risicomanagement, Academy of Master en Professional Courses, Haagse Hogeschool, mei 2012. 2 Aardema, H. & Puts, H. De harde werking van soft controls. Tijdschrift voor Public ControllingTPC, juni 2008.
4
beïnvloeding en maakt zelf wel uit of hij wil leren of dat hij zich laat vertellen bij te dragen aan een risicocultuur. Risicomanagement wordt nog vaak getypeerd als voer voor specialisten. Menigeen beleeft risicomanagement als verplichte kost. Enerzijds geeft het ons een ongemakkelijk gevoel. Anderzijds weten we maar al te goed dat risicobeheersing ook ons aangaat. De klassieke Pavlovreactie op het borgen van beheersbaarheid is wet- en regelgeving, voorschriften, checklists en protocollen. De dubbelzinnigheid schuilt in wat Kahneman de twee mentale processen van systeem 1 en systeem 2 noemt. Wij kunnen situaties waarin fouten voor de hand liggen hooguit herkennen en het hoogst haalbare is heel hard ons best te doen om deze fouten proberen te vermijden3. Vooropgesteld dat we de tijd nemen en de ruimte krijgen om fouten te herkennen en te erkennen! Vertalen we die mentale toestand naar wat dat voor een inspanning vraagt in termen van gedrag en vaardigheden, dan is het zonneklaar dat risicoalert gedrag niet op een achternamiddag tot stand komt. Risicocultuur- en een gedragsontwikkeling vraagt om uithoudingsvermogen, incasseringsvermogen, overtuigingskracht en volhardendheid. In Managing the Unexpected (Weick & Sutcliffe, 2007) wordt uitgebreid aandacht besteed hoe opmerkzaamheid kan bijdragen aan het ontwikkelen en internaliseren van een risicocultuur4. In een interview met Kathleen Sutcliffe5 licht zij het nut en de noodzaak en de kritieke succesfactoren toe om tot organizational mindfulness te komen in high reliability organizations. Zij benadert het vraagstuk van 'alledaags leren' vanuit de noodzaak van sturing, aanmoediging en vergroting van kennis en vaardigheden.
De board room en het lijnmanagement als kritieke succesfactor Een zo breed mogelijk gedragen veranderproces begint bij het besef van de directie en het lijnmanagement dat kennis en vaardigheden een twee kritieke succesfactoren zijn. Een cultuur- en gedragsverandering hangt af van het iteratieve pad, waarvoor in het mandaat en het contract de basis moet zijn gelegd en waarvoor ruim voldoende tijd en aandacht moet worden uitgetrokken. De opdracht beschrijft bij voorkeur specifiek dat inspanning nodig is om kennis te vergroten, vaardigheden op te doen en te oefenen met nieuw gedrag. Kritieke succesfactoren zijn: 1 wat moeten onze medewerkers kennen en wat moeten ze kúnnen? 2 hoeveel tijd gunt de directie het leerproces? 3 waar sturen directie en lijnmanagement consequent op? 4 welk voorbeeldgedrag laten zij zien?
3
Kahneman, D. Ons feilbare denken. Amsterdam: Business Contact, 2011, p.36. Weick, K.E. & Sutcliffe, K. Managing the unexpected, Resilient performance in an age of uncertainty. San Francisco: Wiley & Sons, 2007. 5 Interview Kathleen Sutcliffe, Ann Arbour - Rotterdam, 09-27-2013. In: Bor-Reijinga T. & G. van der Kolk, Alert op risico, naar risk readiness in mensen en organisaties, Vakmedianet, 2014, p. 32 4
5
5 hoe blijft de directie geïnformeerd over een meerjarig leerproces? 6 hoeveel ruimte krijgen mensen van hun leidinggevende om te blijven leren? Tijdige en duurzame betrokkenheid van besluitvormers en andere relevante stakeholders moeten ervoor zorgen dat leren van en in het proces op de agenda blijft. De richtlijn stelt dat het management een beslissende schakel is om een risicocultuur de kans te geven zich te ontwikkelen. Kathleen Sutcliffe verwoordt het in het interview zo:" Building a culture of resilience has to be more systematic and conscious than it is typically. Most leaders are not thinking that way. Cultures are enabled, enacted, and elaborated. To enable a resilient culture is to diffuse specific capabilities, norms and values throughout an organization, and that's something you never get behind you". Rekening houdend met het gegeven dat medewerkers de neiging hebben om zich te onttrekken aan leren en competentieontwikkeling vraagt van leidinggevenden vasthoudendheid . In de opdracht aan het lijnmanagement is geformuleer dat het consequent sturen op het gewenste gedrag een must is. Zo moet de lijnmanager met terugkerende regelmaat met zijn medewerkers aandacht besteden aan hun bedrijfs- en werkprocessen en aan het benodigde nieuwe handelen. Bijsturing kan dan onmiddellijk plaatsvinden en niet pas in het functionerings- of beoordelingsgesprek. Als stimulus dienen periodieke organisatiebrede leerprocessen.
Een ISO31000-leerproces integreren met Action Learning Hoewel ISO 31000 beoogt in § 4.6 Continue verbetering aan te sluiten bij het concept van de lerende organisatie (Argyris, 1996; Senge, 1992; Weick & Sutcliffe, 2007; Pink, 2011), is het principe van actualiseren van kennis en vaardigheden in het framework implicieter gebleven dan wenselijk is. De kans op een geslaagd implementatieproces wordt aanzienlijk vergroot als wordt aanbevolen specifieker te omschrijven wat kennis, ervaring, vaardigheden en bekwaamheid inhouden. Een krachtige prikkel gaat uit van ervaringsleren: de aha-erlebnis 'aha, daar kan ik iets mee'! Zo leren mensen zich nieuwe vaardigheden aan, gaan ze anders handelen en ontstaan er vervolgens nieuwe patronen in het organisatiesysteem. Sutcliffe beveelt het volgende aan: "In my view, the resilience results from broad and deep response repertoires, built from continual learning and training. Learning should be more conscious and has to be a consequence of people taking enough time to reflect. The opportunities for learning and training have to be rich and continuous. Cognitions and actions are related. The more repertoires and capabilities you have, the more you are aware of the effect of uncertainties on objectives. Without these capabilities you have blinders on. You really do need to continuously find opportunities to stay alert, learn and create opportunities for linkages in organizations. That's the hard and ordinary stuff, but these are critical activities6.
6
Ibid, p.34
6
Een pragmatische en trefzekere vorm van internaliseren is Action Learning. Action Learning faciliteert dit leerproces door in groepsverband te reflecteren en interacteren op mogelijke onzekerheden en potentiële faalfactoren in het werkproces aan de hand van real time cases. Met behulp van vooraf geformuleerde spelregels over de interactie en de relatie gaat een waarderende en onderzoekende houding (appreciative inquiry) hand in hand met de drijfveer kennis en ervaring uit te wisselen. Spelregels zijn bijvoorbeeld: (1) andere referentiekaders begrijpen, (2) interdependenties op waarde schatten en (3) schakelen tussen constructieve feed back geven en ontvangen. Men verwerft van en met elkaar nieuwe kennis en ervaring dankzij reflectie en feed back. Professionals worden in deze setting in staat gesteld hun handelen onmiddellijk om te zetten in een geactualiseerde performance in hun onderhanden werk.
Figuur 2. Soft controls van Action Learning (AL)
Een praktijkvoorbeeld dient ter illustratie: een technisch onderlegde medewerker krijgt de opdracht van zijn leidinggevende om in het kader van een ISO31000-implementatie een monitoringssysteem te ontwikkelen. Bij de start deed hij een premortemanalyse7 die hem in staat stelde te leren van een reeks faalsimulaties (imaginair) op basis van eerdere ervaringen (intellectueel) met dit soort 7
Klein, G. Performing a project premortem. Harvard Business Review, 85, nr. 9, 2007, p. 18-19. In ISO 31010 figureert dit als Brainstorming.
7
processen. Hij kreeg het advies deze analyse te doen omdat hij weinig ervaring heeft met zo'n opdracht en de wensen van de gebruikers niet kent. De opdracht doet vervolgens een beroep op cognitieve arbeid, zoals het lezen van recente vakliteratuur en het puzzelen met ISO31000 en ICT (intellectueel leren) en leidt tot een ontwerp van een systeem dat hij ter toetsing aanbiedt aan een forum van collega’s (Action learning). Van deze collega’s doet hij ervaringen op (informeel leren / SWIFT) over ontwerpverbeteringen, implementatie en gebruikseisen, dankzij hun constructieve feed back. Dit leren bood hem houvast om op basis van zijn kennis, gezonde verstand en zijn intuïtie van start te gaan met het ontwerp en nog slechts kleinigheden in de betatestfase op te lossen. Een mix van intellectueel, imaginair en intuïtief leren komt bij elkaar met dank aan zijn AL-groep.
Suggesties voor verdere uitwerking We hebben aangenomen dat het mandaat hecht aan ervaring, vaardigheden en competenties in het risicomanagementproces. Vervolgens is het bepalen van de status quo van die kwaliteiten nodig. De normatieve kwalificatie van (risico)bekwaamheid kan worden geduid als risk readiness. Risk readiness betekent: het vermogen van mensen om de effecten van onzekerheid zodanig te hanteren dat zij deze effecten kunnen voorkomen of op een veerkrachtige manier kunnen beheersen, en dat zij als gedeelde overtuiging hebben verinnerlijkt in - meetbaar - risicobewustzijn en kunnen omzetten in risicoalert handelen. Deze formulering bestaat doelbewust uit werkwoorden, die 'actie' adresseren aan besluitvorming, lijnmanager en medewerker. In risk readiness figureert risico (risk), een grondhouding van paraatheid (the condition of being ready) en (organisatorische) bereidwilligheid (willingness).
Het diagnosticeren en verifiëren van deze niet-tastbare 'middelen' (§ 4.3.5) kan met een risk survey. Deze webbased vragenlijst leidt tot een diagnose over de status van risk readiness, geeft een kwalitatief beeld van hoe bedrijfsprocessen zijn georganiseerd, hoe mensen met elkaar omgaan en fungeert tevens als een nulmeting. De survey bestaat uit zes meetvelden met elk tien vragen, die kunnen worden beantwoord met 'helemaal niet', 'in zekere mate' en 'in ruimte mate'. Deze meetvelden komen samen in het acroniem MASTER en zijn: A
Het managen van de condities voor risicobeheersing (Management en sturing)
B
Flexibel omgaan met onverwachte omstandigheden (Aanpassingsvermogen)
C
Blijven presteren in onverwachte situaties (Stress control)
D
Organiserend vermogen (Transformatie)
E
Inlevend en respectvol in de interactie en communicatie (Empathie)
F
Constructief en beschouwend (Reflectie)
8
Uit de score wordt een curve in stoplichtkleuren in een staafdiagram geplot (zie figuur).
Is de score groen, dan is de risk readiness op orde en volstaat periodiek onderhoud. Bij een cruve in oranje of rood is een dialoog in de organisatie gewenst zo niet dringend noodzakelijk. De vragenlijsten bieden aanknopingspunten voor verdere verdieping door dialoog. Stel dat uit de nulmeting blijkt dat medewerkers kritisch oordelen over het gefaciliteerd worden door het management. Dan is deze uitkomst aanleiding om het gesprek tussen medewerkers en management aan te gaan over wat er nodig is om risicoprocesmanagement in de vingers te krijgen. Betrokkenheid van het management blijkt uit concrete acties, zoals gegunde tijd om AL-workshops te organiseren, het vergemakkelijken van de toegankelijkheid van het risicoprocesmanagement, ondersteuning van het proces door aan te moedigen te oefenen en gelegenheid te bieden om issues te bespreken. Geen 'afrekencultuur', maar mogen leren van fouten. Dit veronderstelt een collegiaal klimaat, tweerichtingsverkeer en doorzettingsvermogen om door middel van nieuwe vaardigheden risk readiness in de alledaagse werkpraktijk te integreren.
Transparantie en inclusiviteit organiseren In het belang van een succesvolle implementatie en integratie figureren transparantie en inclusiviteit. Om deze te organiseren, kan ALERT helpen. ALERT is een beheersmaatregel avant la lettre om het organiserend vermogen aan te boren door adequate voorbereiding. Willen we een organisatie met medewerkers die risk ready is, dan houden de mensen elkaar risicoalert en treffen - waar nodig steeds aanvullende maatregelen om risico's en onzekerheden voor te blijven. ALERT bevordert transparantie en inclusiviteit (zie 'i' onder de Principes) door het interne en externe organiserend
9
vermogen in processen te vergroten en onzekerheden en risico's in bedrijfs- en werkprocessen onder ogen te komen. De volgende vijf stappen vergroten het (zelf)organiserend vermogen:
Stap
Gidsvragen
Focus
A dresseer
Identificeer de interne en externe sleutelspelers
Met Adresseren worden
Wie zijn er in het proces betrokken?
sleutelspelers geïdenti-
Wie ontbreken er nog?
ficeerd nodig voor het
Wie zijn potentiële early adopters, mede-, tegenstanders?
risicomanagementproces
(Principes, H3 onder i)
L anceer
Stel met elkaar de de status quo vast (b.v. met de survey)
Lanceren trapt af met een
(Principes
Waar liggen voorzienbare faalfactoren in bedrijfprocessen?
inventarisatie en
H3 onder f)
Welke (ervarings)informatie is beschikbaar en welke niet?
uitwisseling van vitale
Hoe voorkomen we informatie-asymmetrie in het proces?
informatie aan elkaar
Creëer en consolideer mandaat en commitment
Engageren gaat over het
Wat is nodig om sponsoren/stakeholders te committeren?
verwerven van
Welke prioriteit krijgt het proces van het management?
medewerking en het
Wat betekent dat voor going concern-processen?
consolideren van
§ 4.2)
Welke spelregels stellen we met elkaar vast ?
commitment
R elateer
Leg verbanden tussen potentiële afbreukrisico's in het
Relateren voorziet in het
proces en formuleer beheersmaatregelen
kritisch beschouwen en
Waar zitten de kansen en belemmeringen vanuit integraal
afwegen van risicocriteria
oogpunt?
en hun (risicovolle )
Wat zijn daarvan de consequenties voor het proces?
interdependenties
T ransfor-
Stel benodigde prikkels en actie vast en borg de condities
Transformeren gaat over de
meer
om tot adequate uitvoering te komen.
benodigde inspanning om
(Principes
Zijn medewerkers toegerust ?
tot verinnerlijking,
Zo nee, wat moet er aan ontwikkeling en training
implementatie en borging
gebeuren?
van risicomanagement te
Hoe zien we toe op een continue leer- en verbeterproces ?
komen.
E ngageer (Principes onder i / Kader H4,
(Principes H3 onder d)
H3 onder k/ Kader H4, § 4.3.5 en 4.6)
Adresseren is het in kaart brengen van de spelers en het speelveld. Door je gezonde verstand te gebruiken is een netwerk snel geïnventariseerd. Actor- en krachtenveldanalyse kleuren het plaatje in. Op basis van dit plaatje is een inschatting te maken van de onderlinge verhoudingen, de early adopters en coalitiegenoten, de mede- en tegenstanders alsook hun potentiële bijdrage en hun hindermacht. Lanceren is stil staan bij het fenomeen van informatiesymmetrie en de potentieel 10
verstorende werking van het niet op hetzelfde relevante kennis- en informatieniveau te starten of op hetzelfde moment te vertrekken. Engageren betreft het creëren van betrokkenheid, d.w.z. duurzame aandacht en uithoudingsvermogen van de leiding, het management en professionals. Een geëngageerde professional is iemand die gecommitteerd is en onvoorwaardelijk zal handelen in het belang van de opdracht en de doelstellingen om ISO 31000 te laten welslagen. Relateren is ervan doordrongen zijn dat de complexiteit van risicomanagement altijd een integrale opgave is, met vele interdependenties tussen betrokken medewerkers. Het besef dat ieders handelen invloed heeft op andermans handelen en tot voorzienbare onzekerheden kan leiden, voorkomt veel onnodige procesblunders. Transformeren is tot actie overgaan in zowel de organisatie als in de werkprocessen, alsmede het actualiseren van vaardigheden en gedrag. Als eerder in het proces is geconstateerd dat men nog niet beschikt over de benodigde kennis en vaardigheden, dan moet er een maatstaf ontwikkeld worden wat gewenst gedrag is. Van competenties gaat een normerende werking uit en competenties bieden houvast aan sturing van gewenst gedrag. Leidinggevenden laten voorbeeldgedrag zien en zijn competent om gedrag bij te sturen en op constructieve wijze de effectiviteit ervan te bespreken.
Personeel, vaardigheden, ervaring en bekwaamheid operationaliseren Risicoprocesmanagement veronderstelt kennis, kennen en kunnen. Om deze niet-tastbare kenmerken tastbaar te maken, is van board room tot werkvloer discussie nodig wat kennis, ervaring, vaardigheden en competenties betekenen. De middelen genoemd in § 4.3.5 zijn in algemene termen geformuleerd. Louter algemeen formuleren is niet genoeg. Wat 'personeel, vaardigheden, ervaring en bekwaamheid' inhouden formuleert de board room samen met het lijnmanagement, ondersteund door de HR-afdeling. Het berust op een misverstand dat professionals menen zelf te kunnen bepalen hoe hoog de competentielat mag worden gelegd. Evenzeer is het een misverstand dat het management eenzijdig competenties oplegt. Het lijnmanagement werkt met medewerkers uit hoe dat gewenste gedrag eruitziet, zodat draagvlak ontstaat voor een normatief kader. MAP maakt het mogelijk gewenst gedrag te formuleren8. Meetbaar staat voor zo concreet mogelijk omschreven gedrag. Actief staat voor wat dóe je (niet wat ga je laten) en de P maakt het Persoonlijk (wie doet wat met een als-dan formule als situatie X zich voordoet, dan handel ik zus of zo). Als die collega morgen wéér zeurt over de tijdrovende implementatie van ISO 31000, dan geef ik hem feed back in plaats van over hem te klagen.
8
Tiggelaar Ben over Veranderpsychologie, Psychologische inzichten, slimme toepassingen, praktische technieken, seminar Denkproductie, Bussum, 5 november 2013
11
Als voorbeeld dient de geoperationaliseerde gedragsnorm van de COO van een Amsterdamse vermogensbank. Hij stuurt in het huidige kritische tijdsgewricht op integriteit en reputatie met een zero tolerance norm. Deze norm hoort bij de toepassing van client due diligence gerespecteerd te worden en hij verwacht bijbehorend handelen van de relatiemanagers. Bij de klantacceptatie is voorgeschreven dat het risicoprofiel, herkomst van het vermogen en klantidentiteit plausibel worden gemaakt met documentatie en bewijsmateriaal. De relatiemanagers menen echter dat zij de klant goed genoeg kennen en vinden deze procedure administratieve rompslomp. Het voorschrift met de bijbehorende gedragseis uitvaardigen blijkt dus niet tot het gewenste gedrag te leiden. Hij rekent erop dat lijnmanagement hier stuurt. Dat gaat zo: het management vangt het signaal op dat medewerkers herhaaldelijk de fout in gaan met het verzamelen van de benodigde documentatie. De COO constateert dat de norm niet wordt nageleefd. In een simulatiesessie over reputatierisico's met lijnmanagement en medewerkers bespreekt hij de norm, het gewenste gedrag en vraagt de relatiemanagers te handelen conform de norm op een voor hun praktische wijze. Door te laten zien dat hij wil bijdragen aan een prettig klimaat interpreteert de COO tone at the top9 als een die opbouwend van toon is. Hij geeft ruimte om te leren van missers. Deze toon is een niet-tastbare waarde van een cultuur die openheid propageert en voorkomt dat men fouten verdoezelt. Samengevat kan de invulling van het gedrag van Management (tone at the top) er alsvolgt uitzien:
Basiscompetentie
Vermogen om …
Verifieerbaar gemaakt door ...
Management
•
•
een klimaat te creëren waarin de mening
(tone at the top,
van iedereen (inclusiviteit) kan gedijen en
inclusief
het leren van fouten de ruimte krijgt
leiderschap)
• •
tonen en aan te moedigen te leren • •
aan (zwakke) signalen opvolging te geven
voldoende tijd en middelen beschikbaar te stellen om te leren
normen, waarden en voorbeeldgedrag zichtbaar uit te dragen
onmiddellijk betrokkenheid te
ongewenst gedrag onmiddellijk bij te sturen met feedback
Pleidooi voor concretisering van gedragsaspecten door middel van werkend leren ISO 31000 schrijft bewust geen verplichtende normen voor en beperkt zich tot het geven van richtlijnen. De aanzet die ISO 31000 geeft ten aanzien van niet-tastbare aspecten zoals de menselijke en culturele factor (Clause 3 onder h), transparantie en inclusiviteit (Clause 3 onder i) verdient echter
9
welke soft controls van belang zijn binnen organisaties blijkt uit een enquête (2008, Kaptein en Wallage) onder hoofden van interne accountantsdiensten (IAD’s) van de honderd grootste bedrijven in Nederland. De respons was 54%. Respondenten vinden de volgende soft controls belangrijk: tone at the top, mogelijkheid om incidenten te rapporteren, integriteit van het bestuur, openheid om issues te bespreken, leiderschap, verantwoordelijkheidsbesef, voorbeeldgedrag van het middenmanagement, bewustzijn, vertrouwen, betrokkenheid en loyaliteit. Bron: http://wetenschap.infonu.nl/economie/81078-soft-controls-een-hype-of-iets-om-rekening-mee-te-houden.html 12
een nadere uitwerking. In deze paper zijn suggesties aangereikt om § 4.3.5 meer te concretiseren. Een gedeelde overtuiging van board room, lijnmanagement en medewerkers verbindt de kracht van strategieën, systemen en structuren (hard controls) aan de noodzaak te oefenen met nieuwe kennis, inzichten en vaardigheden (soft controls), opdat risicoalert handelen een tastbaar kenmerk wordt van de menselijke en culturele factor (onder h in Hoofdstuk 3). Een begrip zoals risk readiness - naar analogie van organizational readiness - draagt hieraan bij door de toestand en het handelen op basis van risk readiness zo concreet mogelijk te beschrijven. Is deze kwaliteit eenmaal als gedeelde overtuiging verinnerlijkt, dan kan risicoalert handelen de vorm aannemen van een basiskwaliteit in organisaties. Deze kan verifieerbaar gemaakt worden met behulp van een risk survey. Pragmatisme is aan te bevelen, om te voorkomen dat men verzuipt in de keuze uit instrumenten. Het faciliteren van een lerende organisatie is een pragmatische keuze. Mandaat, verbintenis en tone at the top scheppen daartoe de randvoorwaarden om meerjarig invulling te kunnen geven aan de gedragsaspecten van ISO 31000. Of de arbeids- en organisatiepsychologie hierin een rol kan vervullen laat deze paper onbeantwoord. Bemoedigend is dat er nieuwe interdisciplinaire onderzoeksmethoden ontluiken, zoals behavioral auditing en behavioral finance. Voor de hand ligt om de (gedrags)kennis uit deze hoek te benutten. Aanbevolen wordt om § 4.3.5 Middelen in een specifieke themaconferentie als groeimodel nader te verdiepen, zodat gedragsaspecten zichtbaar op de agenda worden geplaatst.
13
Literatuurlijst Aardema, H. & Puts, H. De harde werking van soft controls. Tijdschrift voor Public Controlling TPC, juni 2008. Argyris, C. Leren in en door organisaties. Het hanteerbaar maken van kennis. Schiedam: Scriptum Management, 1996 [Oorspronkelijke titel: On Organizational Learning, 1992] Bor-Reijinga, T. De risicobeheerssystematiek van Projectorganisatie Maasvlakte 2. De Risk Readiness van een Best Practice. Thesis Master Risicomanagement, Academy of Master en Professional Courses, Haagse Hogeschool, mei 2012. Thinka Bor-Reijinga & Gert van der Kolk, Alert op risico, naar risk readiness in mensen en organisaties, Vakmedianet, Deventer, 2014. Cameron, K.S.& Quinn, R.E. Onderzoeken en veranderen van organisatiecultuur, gebaseerd op het model van de concurrerende waarden. Den Haag: Sdu Uitgevers, 2011. Cooperrider, D.L.& Srivastva, S. Appreciative inquiry in organizational life. Greenwich, CT: JAI Press, 1987. Gratton, L. Zingeving in strategie. De mens als kloppend hart van de organisatie. Amsterdam: Pearson Education Benelux, 2001 [Oorspronkelijke titel: Living Strategy, putting people at the heart of Corporate Business]. Hillson, D.& Murray-Webster, R. Understanding and managing risk attitude. Farnham UK: Gower Publishers, 2007. ISO 31000:2009 Risk management. Principles en guidelines (ISO 31000:2009, IDT), Nederlandse norm, ICS 03.100.01, december 2009. ISO/TR 31004:2013(E), Riskmanagement - Guidance for the implementation of ISO 31000, First edition 2013-10-15, Geneva Switzerland, 2013 ISO 31010:2009 Risk Management Techniques. International Electrotechnical Commission, Edition 1.0, 2009-11. Kahneman, D. Ons feilbare denken. Amsterdam: Business Contact, 2011 [Oorspronkelijke titel: Thinking, Fast and Slow]. Kaptein, M & Ph. Wallage. Assurance over gedrag en de rol van soft controls: Een lonkend perspectief, Maandblad voor Accountancy en bedrijfseconomie, 2010 Klein, G. Performing a project premortem. Harvard Business Review, 85, nr. 9, 2007. Kotter, J.P. Leading change. Why transformation efforts fail. HBR’s Must-Reads on change, Harvard Business Review. Product 12599, www.hbr.org. Meulen, I van der & J. Otten, Behavioural auditing: het onderzoeken van gedrag in organisaties. In Audit magazine, nummer 1, maart 2013 Pink, D.H. Drive, de verrassende waarheid over wat ons motiveert. Amsterdam: Business Contact, 2010. Pligt, J. van der & Harreveld, F. van. Emoties en risico’s, Bedrijfskunde, 3, 2002. Revans, R. Action Learning op het werk, een gids voor managers. Amsterdam: Nieuwezijds, 2000 [Oorspronkelijke titel: ABC of Action Learning, Londen, Lemos & Crane, 1998] Rijsenbilt, J.A. CEO Narcissism. Measurement and Impact. Erasmus Research Institute of Management, ERIM, Doctoraal Scriptie, juni 2011. Schlundt Bodien G.L. & Visser, C.F. Oplossingsgericht aan de slag. Grondhouding en techniek. IJsselstein: Crystallise Books, 2011. Tiggelaar Ben over Veranderpsychologie, Psychologische inzichten, slimme toepassingen, praktische technieken, seminar Denkproductie, Bussum, 5 november 2013. Weick, K.E. & Sutcliffe, K. Managing the unexpected, Resilient performance in an age of uncertainty. San Francisco: Wiley & Sons, 2007. Zolli, A.& Healy, A.M. Resilience. London: Headline, 2012.
14
15