Besliskunde
Hoe dan ook heeft Hoffman in dat extreem uiteenlopende werkpatroon een vastomlijnd doel: ordening for the benefit of all. “Feitelijk is Risk Management synoniem voor besliskunde. Risk Management maakt inzichtelijk hoe bijvoorbeeld een project ervoor staat, wat we eraan kunnen veranderen, en ik adviseer vervolgens het management wat ze in mijn ogen het beste kunnen besluiten. Daarin ben ik volledig onafhankelijk. Overigens stelt die onafhankelijkheid mij ook in staat om te escaleren wanneer adviezen in onvoldoende mate worden opgevolgd. Als ik aan het eind van de dag naar huis rijd en denk: ik heb complexe materie behapbaar gemaakt waardoor het management een goed besluit kon nemen, dan ben ik happy.”
“In veel organisaties zijn Risk Management, Information Security Management, Compliance, Crisis Management, Business Continuity Management, Privacy- en milieukwesties ondergebracht in verschillende handboeken en separate afdelingen die allemaal landjepik doen bij elkaar”, zegt Hoffman. “Verantwoordelijkheden worden afgeschoven, processen sluiten niet op elkaar aan, noem maar op. Bij ons vormen al die disciplines één gestroomlijnd geheel; onder meer daardoor werken we extreem efficiënt. Die disciplines zijn samengebracht in één enkele unit en die omvat experts in de gebieden Compliance, Information Security, Process Modelling, Risk Management, Capability Maturity Management, Privacy, enzovoort. Individuele medewerkers beheersen meerdere overlappende of aanpalende gebieden en alles wordt Risk Based aangestuurd. Waar de experts voornamelijk op de achtergrond werkzaam zijn, zijn de Risk Managers daadwerkelijk in de operatie aan de slag. Zij zijn de ogen en oren van de experts, zij zijn in staat om 80 procent van alle issues in de expertisegebieden af te dekken en weten precies wanneer de experts in te schakelen. ”
Vol overtuiging
Toen hij een jaar of tien geleden bij Capgemini met Risk Management begon, draaide de afdeling weliswaar, maar die had tegelijkertijd ook een uitdagend verbeterpotentieel. Hoffman vloog evenwel vol overtuiging uit de startblokken en zorgde voor een professionaliseringsslag. Zijn motto: 80 procent van de risico’s kan worden geëlimineerd door het strak hanteren van processen, de focus kan dan vol op de 20 procent niet-standaard risico’s liggen.
Met de werkwijze van Capgemini worden veel andere instituties getart, vertelt Hoffman. Hij kent tal van organisaties die voor elkaar overlappende processen tal van verschillende handboeken gebruiken. “De vraag is dan: zijn al die documenten in lijn met elkaar? Ze zijn immers geschreven door mensen die hun eigen processen uitvinden zonder zich echt druk te maken over het geheel van de keten. Als zo’n bedrijf een urgent probleem heeft, wie moet er worden gebeld? De Compliance Manager? De Risk Manager? De CISO? In onze organisatie is het heel eenvoudig: ze bellen mijn team.”
Heeft dat juist ook niet een nadeel? Alle processen en risico’s worden uiteindelijk maar geborgd door één afdeling, die misschien oogkleppen op heeft. “Dat klopt. Daarom werken we, naast onze interne auditors, met legio externe auditors, die onze organisatie voortdurend beoordelen op het vlak van Environmental Management (ISO 14001) Quality Management (ISO 9001) Service Management (ISO 20000) Information Security (ISO 27001) Capability Maturity (CMMI) Assurance Standard (ISAE3402), en nog een hele reeks aan andere standaards zoals NEN4400, CO2 Prestatieladder en FIRA. Jaar na jaar komen ze tot de conclusie dat onze integrale werkwijze heel succesvol is.”
Eigenwijs
Een beetje eigenwijsheid kan daarbij soms wel nodig zijn, constateerde Hoffman al diverse keren. “Toen we ISO 14001 gingen invoeren, zouden we conform de eisen een nieuw milieuhandboek moeten schrijven. Wij zeiden toen: “Nee, we integreren de milieuaspecten volledig in onze bestaande processen.” Wij kennen slechts processen waarin alle standaarden en frameworks zijn verweven waaraan wij moeten en willen voldoen. Die processen maken deel uit van een uniek geïntegreerd Quality management System: iQMS.”
Dat Capgemini zijn processen beheerst, die continu verbetert en dat zij statistisch in control is, bewijst de CMMI Maturity Level 5 status (Capability Maturity Model Integration) die de organisatie heeft. “Wereldwijd zijn wij het vijfde bedrijf dat voor de combinatie applicatieontwikkeling en -beheer over de hoogste graad in deze standaard beschikt. De status zegt eigenlijk dat we in staat zijn te voorspellen waar dingen fout gaan, waardoor we op tijd kunnen bijsturen.”
“We overzien alle kern-KPI’s en kunnen op die manier de huidige positie naar de toekomst extrapoleren (Leading Indicators). Dat geeft ons een veel positiever risicoprofiel: nog voordat de klant zelf ervaart dat de kwaliteit van de dienstverlening achteruitgaat, zijn wij al bezig het probleem op te lossen.”
Het onvoorstelbare
Toch wil dat allerminst zeggen dat risico’s bij Capgemini uitgebannen zijn. Integendeel, maar liefst 20 procent van dat wat zich in de toekomst voltrekt, bestaat uit gecompliceerde scenario’s die zich niet gemakkelijk laten voorspellen. “Je moet rekening houden met het onvoorstelbare”, verwijst Hoffman naar zijn favoriete boek The Black Swan van de Amerikaanse auteur Nassim Nicholas Taleb. “Neem de economische crisis, veroorzaakt door de hypotheekcrisis in de Verenigde Staten. Niemand zag ze aankomen. Niemand had maatregelen. In die geest zegt Taleb: “Hou rekening met het onvoorstelbare. Bijvoorbeeld 24 uur geen stroom in heel West-Nederland gecombineerd met windkracht tien. Een black swan wordt getypeerd door een onverwachte, onvoorstelbare manifestatie, een enorme, catastrofale impact en het gegeven dat de Black Swan achteraf perfect verklaarbaar is.”
Nu het toch over black swans gaat, welke zwarte zwaan zwemt er eigenlijk in het meer van Capgemini? Hoffman: “Sporadisch hebben we in een project een relatief grote financiële afschrijving, ondanks alle controls die we in place hebben. Al vijftig jaar hebben wij met dat risico te maken. Alle seinen staan redelijk op groen, en toch blijkt soms een project uiteindelijk veel meer te kosten dan initieel bedacht. We kampen in deze situaties met aanzienlijke financiële risico’s. Als ik die van tevoren kan voorzien, zou het resultaat onder de streep met procentpunten stijgen. Maar helaas: niemand ziet ze aankomen. Iedereen is tevreden, technisch en financieel is er weinig aan de hand. En dan opeens: bam.”
Black Swan localiseren
Hoewel de black swan op het maanloze meer onzichtbaar blijft, heeft Capgemini zich bij die wetenschap niet neergelegd. “Een zwart gat kun je niet zien, maar de materie eromheen die naar het zwarte gat toezwermt wel. Wat kunnen we daarvan leren? Dat als je atypische symptomen registreert, een black swan bij benadering kunt localiseren. Waar wij bijvoorbeeld aan dachten, is of in de aanloop naar dit soort uit de band springende projecten het verzuim onder projectmedewerkers toeneemt. Wellicht voelen mensen het aan wanneer een project niet goed draait. En vervolgens melden ze zich ziek. Hier hebben we uitgebreid onderzoek naar gedaan, op basis van grote hoeveelheden data.”
Dat onderzoek werd uitgevoerd door François Brouwers, één van de medewerkers van Hoffman, in het kader van zijn Master Thesis. Zijn onderzoek resulteerde, statistisch onderbouwd, in dertien facetten waarop elk project wordt beoordeeld. Dit zijn alle dertien ‘non-standaard’-facetten die normaal gesproken niet worden gebruikt voor project monitoring. “Zijn zes of meer facetten waarneembaar, dan weten we voor 90 procent zeker dat we te maken hebben met een potentiële black swan.”
Het is wel raar om een dergelijke slechte boodschap aan het management te brengen, zegt Hoffman. “Je komt een zonnig terras oplopen en vertelt de mensen dat ze moeten evacueren omdat er een orkaan op komst is. De eerste keer dat we een black swan voorspelden, werd dit ook niet serieus genomen. Nadat onze voorspellingen enkele keren exact waren uitgekomen, is de acceptatie van de black swan-aanpak snel tot stand gekomen. Deze aanpak is nu volledig geaccepteerd, omdat cijfers niet liegen. De toepassing heeft evidente besparingen opgeleverd.”
Tips
Heeft Hoffman nog tips voor startende Risk Managers? Zeker. “Waar ik altijd op hamer: concentreer je op de toepassing, blijf niet hangen in theorie. Als docent Risk Management aan enkele hogescholen zag ik getalenteerde studenten voorbijkomen die precies wisten te vertellen hoe Risk Management werkt. Maar vroeg ik ze een Risk Assessment uit te voeren, dan keken ze me met grote ogen aan. Terwijl juist in die toepassing de kracht ligt. Dat moet je oefenen in de praktijk. Iemand die 25 jaar bij een organisatie werkt, en alle afdelingen en processen kent, kan nu eenmaal een beter Risk Management voeren dan een recent afgestudeerde Risk Manager met vijf titels.”
Een andere tip die Hoffman graag deelt: acteer niet als adviseur van het Management maar als het geweten van de organisatie. “Je moet je vak niet benaderen als een job van negen tot vijf, je advies inleveren bij decision makers en hen vervolgens het besluit laten nemen. Als zij niets doen met jouw advies, gebeurt er niets. Ik ben daar mordicus tegen. Ik kan niet rustig slapen als het management anders beslist dan ik heb geadviseerd.”
Ook Riskworld kan in de evolutie van Risk Managers een rol spelen, denkt Hoffman. “Wat ik belangrijk vind, is dat Risk Managers worden uitgedaagd om de verantwoordelijkheden die ze krijgen toegespeeld ook daadwerkelijk te nemen. Niet iedereen durft op te staan, naar z’n CEO te gaan en te zeggen: “Jij neemt een verkeerd besluit.” Je moet een bepaalde vorm van lef hebben, en soms een potentieel carrièreverwoestende opmerking durven maken, ten faveure van het succes van de organisatie waarvoor je werkt. Soms word ik wel de ‘corporate asshole’ genoemd. Ik maak dingen bespreekbaar die anderen graag bedekt houden. Maar ik wil graag zo feitelijk mogelijk naar risico’s kijken en ik deins er niet voor terug om te zeggen hoe ik de dingen zie. Door andere Risk Managers uit te dagen dat lef te tonen, zal ook Riskworld een steentje kunnen bijdragen aan de verbetering van ons vak.”
Bron: (C) Riskworld, Jasper van den Bovenkamp
Met dit artikel herken ik nog steeds jouw enthousiasme voor risicomanagement. Ga zo door! En ik mis je nog regelmatig als sparringpartner tijdens de college's "Vaardigheden voor de risicomanager".
Het leert mij drie dingen:
1)Hun methode onderbouwt empirisch dat individuen soms wel in staat het onvoorspelbare te voorzien.
2)Hun methode voorspelt zwarte zwanen voor projecten van Capgemini (meso-niveau). Daarnaast blijven zwarte zwanen bestaan op macro-niveau (wereldschaal) en micro-niveau (persoonlijk gebied).
3)Door hun durf de link te leggen tussen leading indicators en Black Swans leveren zij een belangrijke bijdrage aan de innovatie van het vakgebied risicomanagement.