In mijn ‘bubbel’ is resilience de laatste tijd een onderwerp dat veelvuldig voorbij komt. Of de ‘veerkracht van organisaties’ een onderwerp is dat werkelijk onderdeel van de bedrijfsvoering blijft, is een vraag die ik niet kan beantwoorden. En ook niet ga proberen te beantwoorden. Net zoals de vraag of resilience het risicogebaseerd denken van 2019 is. Ondanks de titel van dit stuk.
Risicogebaseerd denken was een speerpunt
Even een kleine zijstap. Eén van de speerpunten van de huidige versie van ISO 9001 was de introductie van het risicogebaseerd denken. Niet alleen gold dit als (soort van) noviteit voor ISO 9001, maar ook voor andere normen gebaseerd op de High Level Structure.
In de gesprekken binnen de normcommissie, alsmede de gesprekken die individuele leden met hun achterban hebben, blijkt dat het risicogebaseerd denken nog niet altijd wordt toegepast zoals ooit voor ogen was.
Veelal blijkt risicogebaseerd denken te blijven steken bij het opstellen van een zogenaamd risicoregister. Een overzicht waarin – meestal vrij statisch – de ‘effecten van onzekerheid’ worden opgetekend, voorzien van scores (meestal kans maal effect, de beroemde 5x5 risicomatrices) en maatregelen om deze risico’s op te pakken.
De ‘kansen’ (of beter de 'opportuniteiten') blijken overigens even vaak een stiefkindje. Al zijn er inmiddels ook de nodige voorbeelden van 5x5-kansenmatrices.
De oorspronkelijke bedoeling?
Een blogje is te kort om volledig te beschrijven wat de (internationale) technische commissie (TC 176) voor ogen had. Als het al überhaupt mogelijk zou zijn om de bedoelingen van enkele tientallen internationale experts te verwoorden. Ik beperk me voor het gemak tot wat ‘Nederland’ voor ogen had. Of in ieder geval mijn interpretatie daarvan.
Risico’s worden niet beheerst door ze in een statisch overzicht te plaatsen. Een overzicht is geen doel op zich en daarom ook geen eis in ISO 9001. In enkele andere HLS-normen is een overzicht wel een eis overigens, maar nooit een doel zich. Een overzicht kan een middel zijn om tot beheersing te komen, maar is niet altijd hét medicijn om alle situaties het hoofd te bieden. Of de druk te weerstaan om 'effe snel' iets te regelen.
Het doel is dat processen worden beheerst door op de juiste momenten een weloverwogen afweging te maken. Op het moment dat het er toe doet, de juiste beslissing nemen. Niet alsnog alles vooraf dichttimmeren, maar maatregelen laten nemen die passen bij een specifieke situatie. Dynamisch in plaats van statisch.
Randvoorwaarden effectief risicogebaseerd denken
Essentiële randvoorwaarden hierbij zijn dat de persoon of personen die hierover mogen of moeten beslissen expliciet deze bevoegdheden verkrijgen. En, niet minder belangrijk, (aantoonbaar) beschikken over voldoende competenties om deze beslissingen te kunnen nemen.
Medewerkers moeten weten welke onzekerheden in processen aanwezig zijn en welk effect deze onzekerheden kunnen hebben. Vervolgens moeten ze weten welke maatregelen mogelijk dan wel nodig zijn op het moment dat deze onzekerheden zich voor doen.
Soms zijn het maatregelen die vooraf al kunnen worden bedacht, maar er zullen ook onzekerheden zijn waarvoor ter plaatse een oplossing moet worden verzonnen. Risicogebaseerd denken heeft daarom meer te maken met gedrag, dan met ‘registers’. Medewerkers moeten niet schrikken van onverwachte situaties, maar juist het hoofd koel houden en de juiste beslissingen nemen.
Maar resilience dan?
Ook resilience heeft te maken met onverwachte situaties. In ISO 22316, de richtlijn voor organization resilience gaat het erom dat een organisatie in staat is om zich staande te houden in een veranderende omgeving door het absorberen van deze veranderingen of door zich aan te passen.
Sommige van deze veranderingen kondigen zich ver van te voren aan. Sommige van deze veranderingen staan ineens voor de deur. Sommige van deze veranderingen kunnen schade toebrengen aan de organisatie. Maar sommige van deze veranderingen leveren de organisatie juist de nodige voordelen op.
Veranderingen ten gevolge van klimaatverandering of de UN Sustainable Development Goals (SDG) ziet iedereen aan komen. Een ‘Uber’ of ‘AirBnB’ die de eigen markt volkomen in de war schopt wat minder. Een nieuwe disruptieve technologie vanuit een heel andere sector evenmin. En een desastreuze brand bij ‘de buren’ al helemaal niet. Meestal dan.
Maar een desastreuze brand bij de buren levert in veel gevallen schade op. Zijn het niet de vlammen die overslaan, dan is het wel schade door bluswerkzaamheden. Maar ook de schade doordat de leveringen mogelijk stil zijn komen te liggen. Kortom, vooral negatieve effecten.
Een nieuwe technologie kan echter een voordeel opleveren als de organisatie in staat is om deze snel eigen te maken. En toe te passen waardoor producten of diensten zich in positieve zin onderscheiden van de producten of diensten van de concurrentie.
Gelijkenissen en verschillen
Het vakgebied van risicogebaseerd denken, of het risicomanagement, lijkt wat verder uitgekristalliseerd. Genormeerd ook. Er zijn veel breed gedragen tools beschikbaar om het ‘handen en voeten’ te geven. En wordt daardoor inmiddels veelvuldig toegepast.
Het vakgebied van resilience lijkt wat meer in de pioniersfase, staat nog niet op heel veel managementagenda’s. Er zijn nog weinig algemene principes en gereedschappen beschikbaar. En een algemeen geaccepteerde definitie ontbreekt. Hoewel dat niet eens een echt verschil is met risicogebaseerd denken.
En er zijn in mijn ogen meer grote gelijkenissen. De grootste gelijkenis die ik zie is dat het bij allebei draait om het leren omgaan met onverwachte situaties. Waarbij ‘onverwacht’ soms iets zegt over wát er gebeurt, maar soms ook over wannéér een gebeurtenis plaatsheeft.
Kunnen omgaan met onverwachte situaties vraagt in mijn ogen het erkennen dat een organisatie nooit ‘klaar’ is. Het loslaten van het idee dat alles tot in de kleinste details te ‘managen’ is. Het accepteren dat volledig ‘in control’ zijn niet bestaat. En dus accepteren dat sommige ‘klassieke’ beheersmaatregelen werken.
Het benoemen van de verschillen is lastig. Zeker omdat er nog veel verschillende definities zijn van resilience. Mijn huidige beeld(spraak) is dat resilience zich bezighoudt met de gezondheid, de algemene fitheid een organisatie. Een gezonde organisatie is iedere uitdaging om te gaan. Ongeacht de oorsprong. En risicogebaseerd denken komt meer overeen met een gerichte training om specifieke uitdagingen aan te gaan.
De kernboodschap van dit verhaal
Een betoog als bovenstaand zou eigenlijk(!) een antwoord moeten bevatten op de vraag in de titel. Maar helaas, het is niet gelukt om deze werkelijk te verwoorden. Of resilience blijft, durf ik niet te voorspellen. Mijn voorspellingen zijn al zo vaak niet uitgekomen, dat ik mij daar niet meer aan waag.
Wel durf ik te zeggen dat het een onderwerp is dat door redelijk veel mensen wordt opgepakt. Misschien nog niet altijd voor iedereen zichtbaar, maar toch. Als ik dan toch een boodschap mag meegeven, dan is dat dat het onderwerp resilience voor niemand als een onverwachte gebeurtenis de boel in de war mag sturen. Bij deze.
Reactie plaatsen
Reacties