Verenigingen zoeken kansen en vinden risico’s. Hoe bewaar je de balans?
Verenigingen zoeken kansen en vinden risico’s
Zeven bouwstenen voor risicomanagement
Dit derde artikel in de Forvis Mazars-serie ‘Belangenorganisaties in control’ beschrijft risicomanagement vanuit een pragmatische insteek ter inspiratie en referentie voor managers en bestuurders van verenigingen. Het artikel is opgebouwd aan de hand van zeven bouwstenen voor risicomanagement.
1. Risicocultuur
Het is menseigen om goede prestaties met trots te delen met anderen. Dit werkt anders wanneer het om problemen of risico’s gaat. Organisaties / mensen zijn bang hierop te worden aangesproken en de mogelijk negatieve consequenties hiervan. Waar mensen werken worden fouten gemaakt, dat is overal hetzelfde. Organisaties en mensen die in staat zijn optimaal te leren van fouten, zijn het meest succesvol. Dit vraagt om een open cultuur, waar fouten maken mag en niet wordt afgestraft.
Een ander element van risicocultuur is het risicobewustzijn. Geen oogkleppen op, maar een open mind voor wat er mogelijk mis kan gaan. Niet om angst te creëren, maar om beter te kunnen anticiperen als organisatie. Met alleen gasgeven (kansen) vlieg je uit de bocht; je moet ook af en toe op de rem staan (risico’s). Maar aan de andere kant, als je te veel op de rem staat (de bureaucratische organisatie) ben je onvoldoende innovatief, niet efficiënt en inflexibel. Hierdoor ben je onvoldoende in staat om de organisatie tijdig aan te passen aan veranderende omstandigheden om daarmee de continuïteit van de vereniging beter te waarborgen. Het gaat dus om de juiste balans. Bij de samenstelling van het management en het bestuur van verenigingen is diversiteit (bijvoorbeeld achtergrond, competentie, gender) daarom ook van groot belang.
2. Risicomanagement proces
Risicomanagement is vaak impliciet aanwezig in de bestaande manier van werken (plannen maken, activiteiten organiseren, besluitvorming, projecten). Handelen in relatie tot risico’s is veelal intuïtief. Naarmate een vereniging groter en complexer wordt en aan meer verandering onderhevig is, is een explicietere benadering van risico’s van waarde. Dit vraagt een praktische benadering om te komen tot een proportionele en passende invulling. In de praktijk zijn er genoeg voorbeelden waar risicomanagement een doel op zich is geworden en waar de organisatie ‘verdrinkt’ in te gedetailleerde risicoregisters. Men ziet door de bomen het bos niet meer en weet niet waar de prioriteit te leggen. Risicomanagement is dan als een routinematige exercitie ingevuld en minder als een waardevol managementinstrument. Een aanpak om het risicomanagement overzichtelijk en pragmatisch te houden, is te starten met een Top 10 risico benadering.
Hoe zou dit er bijvoorbeeld uit kunnen zien:
Zorg dat de Top 10 risico’s van de organisatie in kaart zijn gebracht, als onderdeel van het reguliere proces om tot een jaarplan te komen. Prioriteer vervolgens de risico’s (kans en impact; zie afbeelding) en definieer acties in het jaarplan om de Top 10 risico’s beter te managen. Monitor de voortgang hiervan in het MT (voorbeeld in kwartaalroutine; en ingepast in kwartaalrapport). De Top risico’s zouden vervolgens - bijvoorbeeld ééns per jaar - met de Raad van Advies of Raad van Toezicht kunnen worden besproken.
Een ander passend voorbeeld:
Om het risicobewustzijn van medewerkers binnen belangenorganisaties verder te versterken en risicomanagement competentie en eigenaarschap verder te ontwikkelen, kan het van toegevoegde waarde zijn om via een workshop de belangrijkste processen / processtappen in kaart te brengen en te koppelen aan de (jaar)doelstellingen. Hiaten (aanvullend inzicht in risico’s) en overlap worden zichtbaar en dit ondersteunt continue verbetering en monitoring van processen.
3. Risicobereidheid
Bij het verder vormgeven van een passende invulling van risicomanagement, is het van belang ook de risicobereidheid van de organisatie uit te werken, expliciet een besluit te nemen en te communiceren in de organisatie. Dit bevordert een evenwichtige en consistente risicoresponse door alle lagen van de organisatie. Een voorbeeld: ‘Geen concessies rondom de privacy van de leden, overige stakeholders en medewerkers’. Dit vraagt om voldoende bewustzijn van de privacyrisico’s verbonden aan de activiteiten van de vereniging, een cultuur van aanspreken (inclusief voorbeeldgedrag van teamleiders / management), ondersteund door beleid, procedures en continue training en monitoring.
Met betrekking tot het beheren van het vermogen van een vereniging kan een ander voorbeeld worden aangehaald. Het vermogen moet vooral reserve bieden (vaak ook in de vorm van ‘weerstandsvermogen’ of ‘continuïteitsreserve’) tegen grote financiële risico’s die de continuïteit van de vereniging in gevaar zouden kunnen brengen. Een prudente niet-speculatief beleggingsbeleid past hierin (bijvoorbeeld geen beleggingen in crypto munten).
4. Oorzaak en gevolganalyse
Elke organisatie loopt tegen problemen aan. Wanneer een vereniging meer volwassen is op het gebied van risicomanagement, gebeurt dit minder vaak en met minder gevolgen. Als een probleem zich heeft voorgedaan, is het belangrijk om een oorzaakanalyse te doen met voldoende diepgang om hiervan te leren en kans op herhaling te voorkomen. De toepassing van een methodiek als ‘Luisteren, Samenvatten en Doorvragen’ dringt door tot de kern van het probleem. Ligt de oorzaak op kennisontwikkeling bij medewerkers, zijn processen niet meer actueel of vraagt het leiderschap aandacht?
5. Ontdekken risico’s en response
Risico’s zijn altijd aanwezig. Ze kunnen klein beginnen, maar uiteindelijk grote negatieve gevolgen hebben. Risico’s kunnen van strategische aard zijn met een langere horizon. Ook kunnen risico’s een meer operationeel karakter hebben, gericht op de processen van de organisatie, het voldoen aan wet- en regelgeving of het beschermen van waarden van de organisatie. Daarnaast kunnen risico’s financieel van aard zijn of de financiële verantwoording betreffen.
Het is van belang maatregelen te treffen om risico’s tijdig te kunnen ontdekken. Voor verenigingen is het nuttig om goede trendanalyses te hebben rondom de ontwikkeling van het aantal leden. Daarnaast is het hebben van inzicht in de redenen van het opzeggen van lidmaatschappen belangrijk. Hiermee kun je het risico analyseren dat leden zich niet meer verbonden voelen met de vereniging of te weinig waarde ervaren van de activiteiten van de vereniging waardoor je hierop tijdig kunt inspelen. Andere middelen om risico-informatie te vergaren zijn bijvoorbeeld: een klokkenluidersregeling, procesanalyses, analyse van datatrends of input uit een ledentevredenheidsonderzoek.
6. Performance management
Een regulier planning & control proces omvat het bepalen van strategische doelstellingen, plannen en activiteiten om deze te realiseren, het definiëren van prestatie-indicatoren, bepalen van targets en het tussentijds monitoren van de prestaties ten opzichte van die targets. Een goede performance analyse en dialoog kan mede indicaties afgeven over de (groeiende) negatieve gevolgen van aanwezige risico’s. Echter, een meer expliciete benadering van risico’s versterkt en verdiept het inzicht in risico’s. Het management is in staat passende maatregelen te treffen en tot beter onderbouwde besluitvorming te komen rondom de activiteiten van de vereniging. Daarmee is risicomanagement ‘de andere kant van de medaille’ van performance management als onderdeel van de gebalanceerde planning & control cyclus. Dus zorg ervoor dat naast de key performance indicatoren (en targets) ook de key risico’s (en maatregelen) onderdeel worden van het jaarplan. Zorg daarnaast dat de monitoring van performance én risico’s wordt ingepast in de tussentijdse managementrapportages en bestuursagenda’s met de dialoog daarover.
7. Continuïteit organisatie
Het belangrijkste risico voor iedere vereniging is dat het voortbestaan daarvan wordt bedreigd. Een proactieve houding van management, medewerkers en toezichthouders op het gebied van managen van risico’s heeft een positief effect op het waarborgen van de continuïteit van de organisatie. Afhankelijk van het karakter van de vereniging kan een gestructureerde risicoanalyse specifiek gericht op discontinuïteit van de activiteiten preventief werken. Het ontwikkelen en monitoren van maatregelen die de continuïteit van de activiteiten bevorderen kunnen met deze risicoanalyse geborgd worden. Vooral tijdige evaluatie en mogelijk bijstellen van de waardepropositie voor de leden is hierbij van belang. Daarbij past de dialoog met en communicatie aan de achterban.
Mocht er ondanks deze aandacht toch een crisis ontstaan die potentieel de continuïteit van de (activiteiten van de) vereniging bedreigt, dan is het belangrijk hierop voorbereid te zijn. Crisismanagement maakt daarmee integraal onderdeel uit van het risicomanagement. In het bijzonder gericht op het verkleinen van de negatieve gevolgen van een crisis. Voor verenigingen geldt ook nog dat een weerstandsvermogen of continuïteitsreserve wordt aangehouden om financiële negatieve impact over bijvoorbeeld een periode van één jaar te kunnen overbruggen.
Ter afsluiting, laat dit artikel een aanmoediging en inspiratie zijn om stappen te zetten om risicomanagement verder vorm te geven. Dit vooral voor verenigingen met een groot en groeiend risicoprofiel. Een praktische benadering helpt om tot een passende invulling te komen waar het succes en voortbestaan van de vereniging en haar leden baat bij hebben.