Renze Munnik: Risicomanagement intern of extern bemensen?

Renze Munnik: Risicomanagement intern of extern bemensen?

Risicomanagement
Renze Munnik_980x600.jpg

Door Renze Munnik, Risk Management Consultant bij Probability & Partners

Hoe richt je een tweedelijns risicomanagementfunctie in voor je organisatie? En hoe doe je dat als je budget beperkt is?

De perfecte invulling bestaat niet. Maar er zijn wel een aantal criteria die je in je afweging kan meenemen om tot een goed besluit te komen.

De eerste vraag is of je de functie intern of extern wilt bemensen. En daarbinnen heb je nog de keuze of dat dan één persoon moet zijn of juist meerdere. Hieronder staan de keuzes en de criteria aan de hand waarvan je de opties tegen elkaar kan afwegen. Een persoonlijke voorkeur voor het een of het ander kan de gewichten nog wel wat laten verschillen. Maar in de tabel hieronder heb ik een en ander zo objectief mogelijk naast elkaar gezet.

13032023-Renze Munnik-Figuur 1

Expertise

Een van de belangrijke punten is de expertise die je beschikbaar hebt met de functie. Neem je één persoon, dan zal je doorgaans over minder expertise beschikken dan wanneer je met meerdere personen werkt. Eén persoon is ofwel een generalist, ofwel een specialist. Als je kiest voor één persoon, dan zal je specifieke (ontbrekende) expertise dan ook los moeten inhuren. Werk je met meerdere personen, dan heb je op meer gebieden de expertise aan boord. En wanneer je een bureau inschakelt, zal er doorgaans op nog meer gebieden expertise beschikbaar zijn die op afroep ingeschakeld kan worden.

Onafhankelijkheid

Onafhankelijkheid blijft een lastig punt. Enerzijds hangt dit af van hoe onafhankelijk je de functie in wil richten: hoe dicht op de eerste lijn laat je de functie opereren? In principe zal het uitgangspunt zijn dat, hoe externer de functie is, hoe onafhankelijker deze een oordeel kan vormen. Externe personen hebben minder voor hun baan te vrezen als zij een kritisch oordeel geven.

Daar zijn natuurlijk kanttekeningen bij te plaatsen. Er zijn immers regelingen voor interne risk managers en daarnaast hebben externe risk managers ook commerciële belangen. Maar als een bureau een opdracht verliest omdat het een kritisch oordeel velt, is dat doorgaans minder erg dan wanneer je als risk manager je baan hierdoor kwijtraakt.

Informele signalen

Een risk manager die in vaste dienst is bij de organisatie en iedere dag op de werkvloer aanwezig is, zal eerder de informele signalen opvangen dan een externe risk manager die bijvoorbeeld twee dagen per week voor de organisatie werkt.

Nu heeft corona de manier van werken wel wezenlijk veranderd. Zie ook mijn eerdere column hierover. De interne risk manager loopt ook niet meer continu over de werkvloer. En de collega’s zijn ook niet steeds aanwezig. Dat vermindert de hoeveelheid informele signalen die deze risk manager opvangt en verkleint dus ook de kloof naar de externe risk manager.

Kosten

Hoe kleiner de organisatie, hoe meer aandacht er zal zijn voor de kosten van de risicomanagementfunctie. En die vergelijking is moeilijker te maken. Niet iedere organisatie biedt hetzelfde salaris, niet alle tarieven van zzp’ers of bureaus zijn gelijk. Daarnaast valt er te twisten over een hoger tarief versus meer efficiëntie, omdat een externe risk manager van een bureau ‘het trucje’ al vaker heeft gedaan.

Door de bocht genomen zal een functie met één interne persoon of één zzp‘er goedkoper zijn dan een functie met meerdere personen of een extern bureau. Echter, als je met één persoon werkt zal je toch ook extra expertise moeten inhuren om alle onderwerpen adequaat te kunnen beoordelen. De vergelijking in Figuur 1 is gemaakt enkel op het geld dat je uitgeeft aan de risk manager(s). Daarin zijn niet de kosten van extra externe inhuur opgenomen.

Continuïteit

Ten aanzien van de continuïteit is de vergelijking simpel. Hoe meer mensen je hebt, des te beter je piekcapaciteit of ziekte kan opvangen. Daarbij ben je met een bureau nog iets meer verzekerd van continuïteit, omdat daar doorgaans ook meerdere mensen met dezelfde expertise rondlopen. Iets dat je intern – met een gelimiteerd budget – meestal niet zal doen.

Signalen van buiten

Tot slot is het van belang voor een organisatie om voldoende signalen van buiten te krijgen. Je moet ervoor zorgen dat je niet alleen kijkt naar je eigen omgeving. Signalen van buiten challengen jouw manier van werken, ze kunnen je op nieuwe creatieve ideeën brengen en/of zorgen voor efficiëntie, doordat je niet zelf het wiel opnieuw hoeft uit te vinden.

Deze vergelijking is weer wat lastiger. Je kan namelijk op veel manieren vormgeven hoe je signalen van buiten naar binnen haalt. In bovenstaande vergelijking ga ik ervan uit dat het voor een extern bureau implicieter onderdeel van diens werk is. Omdat de externe risk manager bij verschillende organisaties (en wellicht zelfs sectoren) komt, neemt die dus ook gemakkelijk die kennis en ervaringen mee.

Eigen afweging

Er is geen beste manier. Er is geen gouden ei. Maar volgens mij kan je met deze punten wel de gedachtegang structureren, als je wil afwegen op welke manier je de risicomanagementfunctie wil inrichten. Ook (of juist) als de omvang van de organisatie en het budget wat beperkter zijn. En uiteraard ben ik altijd bereid mee te denken bij zulke afwegingen.

Probability & Partners is a Risk Advisory Firm offering integrated risk management and quantitative modelling solutions to the financial sector and data-driven companies.