Cyber, privacy, digitalisering, ESG, COVID en thuiswerken. Zomaar een aantal ontwikkelingen die het belang van goed risicomanagement onderstrepen. Goed risicomanagement – doorgronden wat risico's zijn, hierop anticiperen, reageren en registreren – blijkt weerbarstig. Het is voor sommige medewerkers een nieuwe wereld, terwijl het belang duidelijk is. De meeste organisaties besteden immers veel aandacht aan communicatie, bewustwordingssessies en e-learnings. Toch beklijft deze boodschap niet en zet deze niet aan tot wezenlijk ander gedrag. Wat zit hier achter?
In onze beleving begint effectieve communicatie met niet het probleem centraal te stellen, maar de mens. In de mens-eerst-benadering van risicomanagement spelen drie factoren een rol en die beperken zich niet tot een heldere boodschap op zichzelf.
Ten eerste gaat het om taal. En dan vooral de juiste taal. Je verstaanbaar maken in een ander land is lastig als je de taal niet spreekt. Dit is vanzelfsprekend. Maar wat als een boodschap voor de ontvanger ervan voelt als een vreemde taal? Risicomanagement is niet voor iedereen gesneden koek, het klinkt vaak ver weg en de scenario's zijn veelal te vaag of te groot om voor te stellen. De woorden die worden gebruikt – inherent risico, accepteren, mitigeren, vermijden, tolerantie, control – zijn simpel gezegd te abstract. Deze woorden worden zo eerder obstakels dan toegangspoorten tot begrip, laat staan tot alertheid. Een oplossing kan zijn om andere woorden te kiezen, maar ook het geven van concrete voorbeelden kan er eenvoudig voor zorgen dat de boodschap tot leven komt.
Ten tweede is het van belang om het persoonlijk te maken. Een tik op de vingers van de toezichthouder omdat risicomanagement niet deugt is een veel gebruikt argument om een organisatie in beweging te krijgen. Maar wat beter helpt, is aan mensen in een organisatie duidelijk te maken hoe goed risicomanagement henzelf of hun afdeling kan helpen, bijvoorbeeld in het bereiken van de eigen doelstellingen. Wat nodig is, zijn geen betere beleidsbeschrijvingen, maar eerder de meer persoonlijke connecties. Het is de kunst een relatie te leggen tussen risicomanagement en de redenen die er in de eerste plaats voor hebben gezorgd dat iemand zich verbonden voelt met de organisatie. Onder dit laatste kun je bijvoorbeeld de purpose van de organisatie verstaan. De juiste boodschappen verbinden risicomanagement met onze gedeelde waarden en directe overtuigingen.
Ten slotte doet het ertoe wie de boodschap brengt. Mensen zijn sociale dieren, en dat geldt ook voor hoe we onze overtuigingen vormen. Je kunt exact hetzelfde bericht aan veel mensen presenteren, maar als het afkomstig is van iemand met wie de ontvanger zich kan identificeren, omdat de boodschapper bijvoorbeeld op dezelfde afdeling werkt, van hetzelfde niveau is of dezelfde achtergrond heeft, verdubbelt de effectiviteit van het bericht, blijkt uit onderzoek.
Bij een thema zoals risicomanagement, dat niet per se iedereen even na aan het hart ligt, is het dus zaak om niet alleen na te denken over de inhoud van de boodschap, maar ook over hoe en door wie deze wordt gecommuniceerd. Zo bevorder je naast de helderheid rondom risicomanagement ook de betrokkenheid bij het onderwerp en met name bij die laatste ligt wat ons betreft de sleutel.
Meer informatie
Neem voor meer informatie over de relatie tussen goed risicomanagement en soft controls contact op met Erik van Bekkum, Corine Tol of Merve Iscen.