De slager moet wél zijn eigen vlees keuren en andere misvattingen in gezegdes met betrekking tot risicomanagement.
Een spreekwoord of gezegde is een korte, krachtige uitspraak die een (volks)wijsheid, een collectieve ervaring of morele opvatting weergeeft. Vaak zijn ze waar, maar bij nadere bestudering spreken ze elkaar tegen of zijn ze niet of niet helemaal waar. Een aantal gezegdes raken aan risicomanagement en kennen zo’n misvatting.
“De slager die zijn eigen vlees keurt”
Als je dit leest in de krant dan weet je al dat het weer mis is! Iemand heeft toezicht gehouden op zijn eigen werk en ‘dús’ is het misgegaan. Toch doet dat geen recht aan de noodzaak dat iedereen die kwaliteit wil leveren toch ook echt zijn eigen werk zal moeten controleren. Een echte keurslager zal zeker kijken naar de kwaliteit van zijn eigen vlees voor hij het in de vitrine legt. Op dezelfde manier zal iemand die een tekst schrijft, een installatie plaatst, een technische verbinding maakt, een rekenmodel opzet enzovoort altijd nog eens terugkijken of dat wat net gedaan is correct is.
Dat neemt natuurlijk niet weg dat het goed is dat er ook een onafhankelijke controle is. De Nederlandse Voedsel en Warenautoriteit ziet (onder andere) toe op de kwaliteit van het vlees van de slager. En dat is maar goed ook, gegeven de recente ernstige gevallen van fraudes met vlees. Maar zonder de intrinsieke behoefte van de (meeste) slagers om kwaliteit te leveren is dat dweilen met de kraan open.
Bij risicomanagement heet dat principe ‘de drie dijken’ of Three lines of Defense (3LoD): de 1e lijn is daar de persoon of afdeling die verantwoordelijk is voor de kwaliteit van het geleverde werk. Die kan zijn eigen kwaliteitscontrole in zijn eigen processen ingebakken hebben. De 2e lijn is de risicofunctie die daarover adviseert, controle processen ondersteunt, systemen ervoor onderhoudt en (middels steekproeven) vaststelt of dat proces ook echt zo loopt. De 3e lijn in dit model staat voor de (internal) auditor die assurance (zekerheid) geeft op dit geheel. Soms is dat controle op controle, maar als de risico’s groot zijn is dat wel nodig.
“De uitzondering bevestigt de regel”
Wij mensen zijn snel geneigd om op basis van een enkele waarneming al conclusies te trekken. Om anekdotisch ‘bewijs’ (N=1) als empirisch te beschouwen. We schrijven ‘mensen’ omdat dit nogal breed leeft, we maken ons er allemaal wel eens schuldig aan: ‘het regent altijd op mijn verjaardag’, ‘jij laat nooit de hond uit’, ‘zij is altijd te laat’. Als iets zich voordoet wat past binnen onze verwachting is onze reactie vaak: ‘Ik zei het toch!’.
En áls er dan al eens iets echt anders gaat dan we beweerden en we worden ermee geconfronteerd zeggen we ‘dat is de uitzondering die de regel bevestigt’. En dat is vaak onterecht omdat het je niet openstelt voor de mogelijkheid dat de wereld op dat punt anders in elkaar steekt dan je tot dan toe aannam. Een filosofische uitspraak in de wetenschap is dan ook: niets is echt bewezen, het is alleen nog niet ontkracht.
In zijn bekende boek ‘The failure of risk management’ beschrijft Hubbard hoe lastig het is, zelfs (juist!) voor experts, om een inschatting te geven van een bepaald risico als dat niet op data maar op eigen ervaring gestoeld is.
Mensen nemen selectief waar, onthouden selectief én redeneren selectief. Daar zijn verschillende ‘biasses’ voor beschreven; vooroordelen die we allemaal in meer of mindere mate hebben. Niet persé erg, het helpt ons vaak om snel een juiste keuze te maken. Maar vertrouw er niet blind op. Dit proces is ook schitterend beschreven in de klassieker ‘Thinking fast and slow’ van Nobelprijswinnaar Kahneman. De consequentie hiervan voor risicomanagement is dan ook dat we onze uiterste best moeten doen om via data een onderbouwing te vinden voor de inschatting van risico’s en niet (blind) moeten vertrouwen op onze ‘onderbuik’.
“Het doel heiligt de middelen”
Een bekende uitdrukking die veronderstelt dat het niet uitmaakt hoe een doel bereikt wordt, als het maar bereikt wordt.
Machiavelli schreef 500 jaar geleden zijn ‘Il Principe’ waarin hij zijn raad gaf aan de heersende vorsten van de stadstaten in Italië, voordat het één Italië werd. Het onderwerp was hoe ze hun macht konden behouden en uitbreiden. Daarin werd geen middel geschuwd. “het is beter gevreesd te zijn dan bemind’ schreef hij.
Dit was duidelijk nog voor de tijd van de mondige consument, duurzame bedrijfsvoering, gewetensvolle aandeelhouders en strenge toezichthouders. Voor hem heiligde het doel de middelen.
Verschillende bedrijven zijn al ‘afgerekend’ op dit principe omdat ze methodes gebruikt zijn die ethisch niet door de beugel kunnen en/of wettelijk niet toegestaan zijn. Of het nu het vermijden van kinderarbeid, schone productie processen, of acceptabele winstmarges betreft; in het doel tot groei of winst zijn lang niet alle middelen meer heilig.
Binnen risicomanagement zien we dat bijvoorbeeld terug in de vorm van reputatie risico; het risico op ‘slechte pers’ als gevolg van niet ethisch handelen en compliance risico’s (het overtreden van wet en regelgeving). Risico’s die momenteel zo groot zijn dat een onderneming eraan ten onder kan gaan.
De echte val van DSB hing tenslotte samen met de oproep aan alle klanten om er hun geld weg te halen, de reputatie van DSB was geheel weg. Facebook heeft enorme boetes gekregen voor misbruik van privacy regels en ING en de Rabobank voor onvoldoende aandacht voor witwassen. Zaken die juridisch niet acceptabel zijn maar ook door ‘de markt’ niet meer geaccepteerd worden.
“Het is een kleine wereld”
Dit zeggen we vaak als we merken dat we mensen via via kennen of alwéér tegenkomen of varianten hierop. “Wat een toeval!” Deze misvatting komt voort uit een enorme verscheidenheid aan mogelijke momenten die daarvoor in aanmerking komen en meestal, als ze geen bijzonderheid opleveren, niet opvallen en dus niet meetellen. We kennen via via ook bijzonder veel mensen! De hypothese dat we iedereen op de wereld kennen met maximaal 5 tussenstappen ‘six degrees of separation’ is in verschillende onderzoeken aannemelijk gemaakt. Dus de kans dat je iemand tegenkomt waar je een gemeenschappelijke kennis mee hebt is best groot. Wanneer je in een ruimte bent met 23 mensen is de kans dat er twee mensen dezelfde verjaardag hebben maar liefst 50%! Toch zullen mensen dan roepen ‘wat een toeval’ en ‘wat een kleine wereld’.
De relevantie voor risicomanagement zit hier in het feit dat mensen niet heel goed zijn in het inschatten van kansen. Zeker niet als die kansen klein zijn. Een klassiek voorbeeld waarvan de relevantie weer teruggekomen is vanwege Corona is het volgende:
Je bent in een random test positief getest op een zeldzame ziekte.
Verder weet je:
- De test is 99% nauwkeurig om de ziekte aan te tonen (positief) als je de ziekte hebt;
- De test is ook 99% nauwkeurig om de ziekte niet aan te tonen (negatief) als je de ziekte niet hebt;
- 1 op 10.000 mensen heeft de ziekte
Moet je je zorgen maken? Wat is de KANS dat je de ziekte hebt gegeven bovenstaande? Spreek die kans eens hardop uit, gokken mag. Velen zullen denken dat de kans erg groot is vanwege de bijzonder hoge nauwkeurigheid van de test, beide kanten op. Toch valt dat reuze mee. Als 1 op de 10.000 mensen de ziekte heeft en de test is 99% nauwkeurig dan zijn er per 10.000 mensen 100 die ten onrechte positief testen en maar 1 die terecht positief test. Jij bent daar één van. Daarmee is de kans net iets minder dan 1% dat jij de ziekte hebt. Namelijk 1/101. Zeg eens eerlijk, had jij dat goed?
“Eind goed al goed”
Een logische afsluiter voor dit artikel. Als het even spannend is geweest om welke reden dan ook, maar iedereen is weer veilig dan zeggen we ‘eind goed al goed’. Ook deze uitspraak valt te betwisten: ‘alles’ is niet goed omdat het einde goed was. Sterker nog, alles was wellicht heel erg beroerd en alleen het einde was goed vanwege veel geluk.
Stel: je hebt met je partner 3000 Euro gespaard. Je gaat er zonder overleg mee naar het casino, zet het op jullie geluksgetal, dat valt (!!) en je komt met 100.000 Euro thuis. Dan zal je partner zeker blij zijn, maar daarna komt ongetwijfeld de vraag: ‘Welk risico heb jij genomen met ons spaargeld?!’ Met een ‘eind goed al goed’ kom je ook met een positieve uitkomst niet persé zomaar weg.
Als je rijdt met een caravan die slecht is vastgemaakt en hij schiet los op de snelweg maar belandt zachtjes in een berm dan doet ‘eind goed al goed’ ook geen recht aan de situatie. Die uitspraak zou kunnen veronderstellen dat omdat ‘alles goed’ is, er geen lessen geleerd hoeven te worden en het de volgende keer op dezelfde manier kan gaan. Dat is in het geval van de caravan zeker niet zo.
Bij risicomanagement is het daarom ook van belang te kijken naar incidenten om te begrijpen wat er gebeurt is om daarvan te leren. En ‘near misses’ (zaken die bijna misgingen) leren ons misschien nog wel meer.
Bedenk zelf maar: je hebt waarschijnlijk vaker een bijna ongeluk meegemaakt op de snelweg dan een echt ongeluk. Dat zijn steeds ‘leermomenten’. Ook in de luchtvaart wordt uitgebreid onderzoek gedaan naar ‘near misses’. Daar zeggen ze niet als twee vliegtuigen elkaar rakelings passeren “eind goed al goed’.
Schrijf je nu in voor de training : Inleiding operational risk management van Wim Pauw en Rob van Erp. Benieuwd naar onze andere masterclasses, klik hier