In de huidige ISO-normen én in de dagelijkse kwaliteitspraktijk spelen ‘risico’ en ‘leiderschap’ een belangrijke rol. Hoe zit dat eigenlijk met de spannende combinatie van beide begrippen: ‘risicoleiderschap’? Dit artikel verkent risicoleiderschap, als nieuw én essentieel begrip voor het risicogestuurd waarmaken van kwaliteit.
Conventionele vormen van management hebben het momenteel lastig. Dit heeft veel te maken met de dynamiek en onzekerheid, waarin veel organisaties hun vaak ambitieuze doelen moeten zien te realiseren. Je hebt hiervoor vast je eigen voorbeelden. Met ‘conventioneel’ bedoel ik overigens het gangbare, instrumentele en vooral op beheersing gerichte managen, dat wordt ‘gefaciliteerd’ door allerlei soorten managers, zoals kwaliteitsmanagers en risicomanagers. Dergelijke vormen van management hebben een gebrek en een teveel: een gebrek aan meerwaarde en een teveel aan bureaucratie.
Wat betreft het gebrek, voor mijn eigen vakgebied risicomanagement is de evidence in de praktijk per definitie lastig. Bij risicomanagement draait het immers om onzekerheid. Is een (kwaliteits)risico dankzij of ondanks risicomanagement (niet) opgetreden? Vaak is deze vraag lastig te beantwoorden. Tevens zijn er nauwelijks studies die de meerwaarde van risicomanagement overtuigend aantonen. Een paar jaar terug heeft Kees Ahaus overigens een dergelijke bewering gedaan, op basis van zijn terugblik op 25 jaar kwaliteitsmanagement.
Wat betreft het teveel, een overdaad aan bureaucratie manifesteert zich in de vorm van procedures, protocollen, monitoring en doorgeschoten verantwoordingsdrift. Dit belemmert veel professionals in het doen van hun dagelijkse werk, bijvoorbeeld in sectoren als de (thuis)zorg en het onderwijs. Bureaucratie, ooit met de beste bedoelingen gecreëerd gaat inmiddels - paradoxaal - juist ten koste van het verlenen van goede zorg en goed onderwijs. Tijd, die aan registratie- en verantwoording opgaat, kan immers niet worden besteed aan zorg voor de patiënt of aandacht voor de leerling.
Dan nu het goede nieuws: er zijn positieve veranderingen aan de gang. Zo zijn recente governancecodes gebaseerd op principes, evenals de ISO 31000 richtlijn voor risicomanagement. Principes geven ruimte voor een eigen invulling, voor maatwerk. Governance en risicomanagement kunnen vanuit die principes worden afgestemd op de behoefte van de organisatie en de stakeholders. Een andere positieve ontwikkeling is dat alle ISO normen risicogebaseerd zijn, of worden. Dit betekent dat op basis van risico’s, en hun positieve keerzijde kansen, kan worden geprioriteerd waar al dan geen tijd en energie in wordt gestoken. Ook al blijft de meerwaarde lastig, in elk geval kan met een dergelijke benadering goed worden uitgelegd wat er aan kwaliteits- en risicomanagement wordt gedaan, wat niet, voor wie en waarom.
Dit artikel richt zich op het effectief kunnen omgaan met risico’s in de ‘nieuwe ISO’s’: de recente ISO normen. Die normen hebben allemaal dezelfde structuur met risicofocus. We verkennen daarom een nieuw én essentieel begrip voor risicogestuurd kwaliteitsmanagement: risicoleiderschap.
Eerst beschouwen we de begrippen ‘risico’ en ‘leiderschap’ in de ISO normen. Dan volgt een korte introductie van risicogestuurd werken, een terug-naar-de-essentie vorm van risicomanagement. Risicogestuurd werken, afgekort tot risicosturing, vormt namelijk de basis van risicoleiderschap, het nieuwe begrip dat daarna aan bod komt. Ik sluit af met de belangrijkste conclusies.
Het was een memorabele dag, die 6de oktober 2015. Het was de dag waarop in Utrecht door NEN de ‘nieuwe ISO’s’ werden gepresenteerd, met als vlaggenschip de ISO 9001 kwaliteitsnorm. Twee pijlers onder de nieuwe ISO’s zijn opmerkelijk: het feit dat alle ISO normen en richtlijnen risicogebaseerd zijn, of worden, en de dat ze allemaal dezelfde structuur hebben, of krijgen.
Wat betekent ‘risicogebaseerd’? ISO 9001 gaat uit van een procesbenadering. Hierbij kan je denken aan allerlei soorten processen: productieprocessen, administratieve processen, en dergelijke. Onderling samenhangende processen in de organisatie vormen samen een systeem. Voor het managen van de kwaliteit van dit systeem wordt gebruik gemaakt van de bekende PDCA-cyclus van Deming. De focus is hierbij op risicogebaseerd denken. Dergelijk denken, en natuurlijk ook handelen, heeft als doel het voorkomen van ongewenste resultaten door opgetreden risico’s in de relevante processen. Overigens, ook de andere kant van omgaan met onzekerheid hoort erbij: het benutten van kansen. Risico’s en kansen kunnen ontstaan in de processen zelf, of in de context waarin die processen plaatsvinden.
Zowel risico’s als kansen komen uit een en dezelfde bron: de bron van onzekerheid. De risicodefinitie van ISO sluit hier naadloos op aan: risico is het effect van onzekerheid op doelen. Een kwaliteitsrisico is volgens deze definitie dus het effect van onzekerheid op een kwaliteitsdoel. Hierbij kunnen de effecten van onzekerheid negatief zijn, in de klassieke risicobetekenis, maar ook positief in de zin van kansen, mogelijkheden of opportunities. Samenvattend: de risicobenadering is een van de pijlers van de nieuwe ISO’s. Dit feit maakte die 6de oktober 2015 tot een memorabele dag: kwaliteitsmanagement en risicomanagement zijn sindsdien onlosmakelijk met elkaar verbonden.
Dan nu de tweede pijler van de nieuwe ISO normen: de High Level Structure (HLS), een standaard hoofdstukindeling. Voorafgaand aan de hoofdstukken Planning, Uitvoering, Evaluatie en Verbetering - we herkennen hier de PDCA-cyclus - is er een opvallend hoofdstuk in de ISO normen: Leiderschap. Dit hoofdstuk bevat onderwerpen als leiderschap, betrokkenheid, beleid, rollen, verantwoordelijkheden en bevoegdheden. De directie is hierin steeds leidend. Directieleden moeten leiderschap en betrokkenheid tonen met betrekking tot het kwaliteitsmanagementsysteem, bijvoorbeeld door de kwaliteitsdoelen vast te stellen. Ook moet de directie het kwaliteitsbeleid vaststellen en implementeren, evenals het toekennen van rollen, verantwoordelijkheden en bevoegdheden.
Samenvattend: de standaard HLS indeling is ook een pijler onder de nieuwe ISO’s, evenals de risicofocus. In de HLS is een belangrijke rol voor leiderschap weggelegd: per norm is in het hoofdstuk Leiderschap aangegeven wat leiderschap zou moeten zijn. Hoe dat moet valt buiten de scope van normen. Daarover straks meer.
Eerst nóg iets over leiderschap. Dat staat namelijk letterlijk centraal in het risicomanagement raamwerk van de herziene ISO 31000 Risk management – guidelines uit 2018 (alleen nog in het Engels beschikbaar). Paragraaf 5.2 in deze richtlijn gaat over leiderschap, dat overigens net als in ISO 9001 door het topmanagement (uit)gedragen moet worden. Het tonen van leiderschap volgens ISO 31000 betekent onder meer het op maat maken en implementeren van het risicomanagementraamwerk, evenals het toekennen van verantwoordelijkheden en bevoegdheden voor risicomanagement.
We kunnen nu dus concluderen dat ‘risico’ en ‘leiderschap’ twee fundamentele begrippen zijn in alle nieuwe ISO’s, en binnen afzienbare tijd in alle ISO normen en richtlijnen. Daarbij staat leiderschap letterlijk centraal in het risicomanagementraamwerk van de ISO 31000 richtlijn voor risicomanagement. Hoe zit het dan met de spannende combinatie van deze twee begrippen: risicoleiderschap? Dit verkennen we via de essentie van risicomanagement: risicogestuurd werken.
In de inleiding is het al aangegeven: zowel conventioneel management heeft het moeilijk, en dit geldt temeer voor risicomanagement. Voor mij was dit enkele jaren terug de aanleiding om een alternatief te ontwikkelen: risicogestuurd werken, afgekort risicosturing. Dit is een terug-naar-de-essentie vorm van risicomanagement. Risicosturing is niets anders dan het toepassen van zes generieke risicoprocesstappen in de relevante bestaande werkprocessen. Die processen kunnen zo risicogestuurd worden uitgevoerd. De zes risicostappen zijn het resultaat van het filteren van alle gangbare methoden voor risicomanagement op de essenties, inclusief de herziene ISO 31000 richtlijn uit 2018 en het herziene COSO risicomanagementraamwerk uit 2017. Een voorbeeld van een proces waarin deze zes stappen naadloos passen is de al genoemde PDCA-cyclus. Hoe mooi valt dit alles samen. Figuur 1 presenteert de zes generieke risicoprocesstappen in de PDCA-cyclus.
Wat zijn nu de verschillen tussen conventioneel risicomanagement en risicogestuurd werken? Gangbaar risicomanagement legt, als kloon van Taylor’s scientific management, de nadruk op systemen, planning, controle, beheersbaarheid en daarmee de illusie van onbegrensde maakbaarheid van organisaties. Risicogestuurd werken legt juist meer nadruk op mens, organisatiecultuur, flexibiliteit, leren, aanpassingsvermogen en de realiteit van begrensde maakbaarheid. Het is overigens niet zozeer een kwestie van of het één of het ander. Het is vooral een kwestie van wat minder accent leggen op kenmerken van het conventionele risicomanagement, en wat meer accent leggen op kenmerken van risicogestuurd werken.
Tabel 2 is een bewerkte en aangevulde versie van een figuur uit het boek Verdraaide Organisaties van Wouter Hart. Tabel 2 bevat twintig kenmerken van conventioneel risicomanagement ten opzichte van die van vernieuwend risicogestuurd werken. De volgorde van de kenmerken is willekeurig; kenmerk nr. 1 is niet belangrijker dan kenmerk nr. 20.
Het aanbrengen van enkele andere accenten kan al een behoorlijk verschil maken in de wijze waarop risicomanagement wordt uitgevoerd. Neem bijvoorbeeld het accentverschil van kenmerk 2, van één doel richting enkele doelen. Hiermee wordt duidelijk dat naast een kwaliteitsdoel, altijd enkele andere doelen staan. Dit zijn bijvoorbeeld winstgevendheid of gebruiksvriendelijkheid. De illusie van volledige focus op ‘100 % kwaliteit’, tegen elke prijs, wordt hiermee doorgeprikt. Het accentverschil van kenmerk 6, van onteigenen naar eigenaarschap, betekent dat iedereen in de organisatie met een (kwaliteit)doel ook verantwoordelijk is voor het effectief omgaan met de bijbehorende onzekerheden: de risico’s én kansen.
Zo wordt risicomanagement een integraal onderdeel van dagelijkse werkprocessen, in plaats van apart gezet in een speciale afdeling met dito managers en medewerkers. Op deze manier faciliteren kwaliteits- en risicomanagers het omgaan met kwaliteitsrisico’s, in plaats van ze zelf te managen. Dit vormt een stevige brug naar het volgende onderwerp: risicoleiderschap.
Wat is nu die spannende combinatie van ‘risico’ en ‘leiderschap’, die samen riscoleiderschap vormen? Risicoleiderschap is het willen en kunnen toepassen van een of meerdere kenmerken van risicogestuurd werken, om daarmee doelen te realiseren, ondanks onzekerheden, risico’s en kansen. Dit kunnen kwaliteitsdoelen zijn, of andersoortige doelen.
Een risicoleider kán een formele leidinggevende zijn, maar dat hoeft helemaal niet. Opvallend is dat in de nieuwe ISO’s (alleen) directie en topmanagement op leiderschap worden aangesproken, ofwel de (hogere) formeel leidinggevenden. Voor risicoleiderschap ligt dat anders. Ook informele leiders in een organisatie kunnen immers leiderschap tonen, bijvoorbeeld door initiatief te nemen, richting te geven en personen aan te spreken op onacceptabel gedrag. Ook informele leiders, eigenlijk iedereen in een organisatie, kunnen risicoleiderschap tonen, mits ze bereid zijn om zich een aantal vaardigheden aan te leren. Een risicoleider kán een risicomanager of risico-adviseer zijn, maar dat hoeft helemaal niet. Een kwaliteitsmanager of –adviseur kan ook risicoleiderschap tonen en zo een risicoleider worden.
Een risicoleider is iemand die een aantal leiderschapsvaardigheden verenigt met een aantal risicomanagementvaardigheden, en die ook daadwerkelijk toepast. Op basis van literatuur- en praktijkonderzoek naar leiderschap in een dynamische organisatie-omgeving heb ik de leiderschapsvaardigheden voor de risicoleider samengevat in 4D’s. De 4D’s staan voor Doelgericht, Diversiteit, Durven en Doen, ofwel voor vierdimensionaal leiderschap in een onzekere werkwereld.
Waarom juist deze 4D’s? Een risicoleider weet wat hij of zij wil realiseren. Met andere woorden: het doel, in de meest brede betekenis van het woord, is bekend. Ook de kwaliteitsdoelen zijn helder. Een risicoleider is dus Doelgericht. Om doelen te kunnen realiseren in een dynamische omgeving is het essentieel om Diversiteit te omarmen. De wereld is immers veel te complex om alle ontwikkelingen en de daaruit voortkomende onzekerheden in je eentje, of met een paar soortgelijke collega’s of managers, te kunnen overzien. We moeten ook leren Durven om onzekerheid te omarmen, om niet alles te kunnen weten, voorspellen, beheersen en controleren. Vervolgens is het een kwestie van Doen. Alleen door te doen, door te werken, door scherp te kiezen om risico’s al dan niet te nemen en kansen te benutten, alleen zo kunnen we onze (kwaliteits)doelen realiseren. En dan zijn we weer terug bij doelgerichtheid en is de cirkel rond.
Wat betreft risicomanagementvaardigheden, een risicoleider kan bijvoorbeeld werken met de kernbegrippen onzekerheid, risico en risicoperceptie. Ook (her)kent een risicoleider de eigen risicobereidheid én die binnen en buiten de organisatie. Een risicoleider kan omgaan met onzekerheid, durft te kiezen om risico’s al dan niet te beheersen én neem daarvoor de verantwoording. En het allerbelangrijkste: een risicoleider integreert expliciet risicodenken en -doen in alle dagelijkse werkzaamheden. Hij of zijn is bereid om hiervoor specifieke vaardigheden te ontwikkelen, vaardigheden om de kenmerken van risicosturing (zie tabel 2) toe te passen. Bijvoorbeeld de vaardigheid om met meerdere doelen te kunnen omgaan, of om eigenaarschap voor een (kwaliteits)risico aan te gaan.
Met de nieuwe ISO’s is kwaliteitsmanagement volledig risicogebaseerd. Dit vraagt om een inbedding van risicomanagement in kwaliteitsmanagement. Risicogestuurd werken blijkt hiervoor een passende aanpak. Risicosturing is een terug-naar-de-essentie vorm van risicomanagement, dat om leiderschaps- én risicovaardigheden vraagt: risicoleiderschap. Met deze combinatie hoeven risicoleiders echte geen supermensen te worden. Risicoleiders zijn ongewoon gewone mensen, die steeds weer in staat blijken om risicogestuurd de gewenste kwaliteit te leveren, juist in een dynamische en onzekere organisatieomgeving.
Literatuur
Auteur
Dr. ir. Martin van Staveren MBA staat voor anders omgaan met onzekerheden, risico’s én kansen. Vanuit VSRM adviseert hij organisaties over realistisch en vernieuwend risicomanagement. Martin is daarnaast kerndocent aan de executive masteropleidingen Risicomanagement en Publiek Management, Universiteit Twente. Hij doceert tevens in diverse collegereeksen van Nyenrode Business Universiteit en in de Master Kwaliteitsmanagement, Schouten University of Applied Sciences. Martin schreef de boeken Risicogestuurd werken (2015), Risicoleiderschap (2018) en Iedereen risicoleider (2020).
Bron: Dit artikel verscheen oorspronkelijk op Sigmaonline.nl