De afgelopen weken heb ik mij verdiept in Douglas W. Hubbard’s The Failure of Risk Management: Why It’s Broken and How to Fix It (New York 2009). Dat thema is erg interessant, vooral in het licht van de economische crisis die we op dit moment doormaken en de uitwassen die die crisis hebben bespoedigd. Ik heb daar hier al verschillende posts aan gewijd. Deze maand verscheen in Nederland tevens een onderzoeksrapport over risicomanagement, dat de conclusies van Hubbard, waarover later meer, in mildere taal bevestigt. Dat dat onderzoek door een aantal zwaargewichten uit het wetenschappelijke accountancy-, controlling- en governance-domein is uitgevoerd, geeft te denken. Zeker wanneer we dat in combinatie zien met het bovengenoemde boek van Hubbard.
Al in het voorwoord van het rapport (blz. 3) laten de onderzoekers hun conclusies de vrije loop: ‘Over de slotconclusies zijn we het wel eens. Risicomanagement staat nog in de kinderschoenen en de vooruitgang die in de afgelopen vijf jaar op dit terrein is geboekt is bepaald mager te noemen. Risicomanagement heeft onvoldoende geholpen de gevolgen van de crisis te beperken. De suggestie dat de wereld veiliger was geworden dankzij de verworvenheden van risicomanagement – zoals sommigen in de financiële sector ons hebben willen doen geloven – is volkomen misplaatst. Om te stellen dat de crisis mede is veroorzaakt door de toepassing van risicomanagement is echter weer te stellig. Wel is het zaak verder na te denken over wat risicomanagement wel en wat het vooral niet kan’. Douglas Hubbard is wat minder mild.
Laten we eerst eens zien wat we onder risicomanagement moeten verstaan. Het is in ieder geval een ‘buzz-word’, dat al een jaar of twintig rondzingt als een middel voor het beheersen van managementrisico’s in organisaties. In 2009 bereikte het zelfs status als ISO 31000, waarin het als ’the effect of uncertainty on objectives’ omschreven wordt. Hubbard geeft een verduidelijking van deze wat vage aanduiding door het te benoemen als ’the identification, assessment, and prioritization of risks followed by coordinated and economical application of resources to minimize, monitor, and control the probability and/or impact of unfortunate events’ (blz. 49). Hubbard, bedenker van Applied Information Economics (AIE), is al vanaf 1994 intensief betrokken bij risicomanagement en de methoden die hierbij worden gebruikt. Hij mag als een insider worden beschouwd, die weet waar hij het over heeft en die er geen moeite mee heeft de ‘vuile was’ buiten te hangen.
In het eerste deel van zijn boek (‘An introduction to the crisis’) (blz. 1-52) beschrijft Hubbard de geschiedenis van risicomanagement (‘in 800 hundred words or less’ (blz. 22)) en de problemen die bestaan met de moderne risicomanagement methoden. Hij begint met het stellen van een aantal fundamentele vragen, zoals ‘How do you know that your risk management program is effective? Would anyone in your organization know if your risk management program didn’t work? (…and how would they know – and define – that it wasn’t working?)’. Erg simpele vragen, lijkt het, maar ze zijn in de meeste organisaties heel moeilijk te beantwoorden. En Hubbard sluit af met: ‘If risk management programs really do work, then it seems logical to assume that companies in a given industry with a (self proclaimed) “highly effective” risk management program would show greater shareholder returns, less earnings volatility, and better safety and regulatory compliance records than other companies in their peer group who lack such a program. Yet there appears to be no valid evidence that current risk management practices, taken as a whole, serve to improve overall corporate performance. The evidence just isn’t there’. Risicomanagement afgeserveerd, dat is zo ongeveer de conclusie van de eerste 52 bladzijden van het boek.
In Part II wordt de vraag beantwoord ‘Why It’s Broken’ (blz. 53-198). Hubbard biedt een degelijk en overtuigend overzicht van de vele tekortkomingen van de moderne risicomanagementpraktijken. Hij is voorstander van kwantitatieve analyse als de meest effectieve benadering van risicometing bij de implementatie van risicomanagement programma’s. In mijn opinie is dit het meest opzienbarende deel van het boek. Hoofdstuk 4 (‘The ‘Four Horseman’ of Risk Management. Some (mostly) sincere attempts to prevent an Apocalypse’ (blz. 55-78) beschrijft de verschillen tussen (volgens de auteur) vier verschillende risicomanagers: ‘actuaries’, ‘war quants’, ‘economists’ en ‘management consultants’. Elke groep heeft verschillende methoden, expertises en validatietechnieken. Hoofdstuk 5 (‘An ivory tower of Babel’ (blz. 79-94)) gaat over de definitie van risico en waarom verschillende mensen over verschillende interpretaties van risico kunnen spreken, zonder dat van elkaar in de gaten te hebben. Hoofdstuk 6 (‘The limits of expert knowledge’ (blz. 95-116)) legt uit waarom mensen niet goed zijn met subjectieve methoden, aangevuld met een paar ‘calibration tests’. Die testen zijn bedoeld om te laten zien hoe mensen teveel overtuiging hebben bij het nemen van beslissingen. Weten waarvoor de test bedoeld is, helpt niet om ‘goed’ te scoren. De hoofdstukken 7 (blz. 117-144), 8 (blz. 145-166) en 9 (blz. 167-198) verduidelijken de problemen met de subjectieve meetmethoden, met ‘one-off events’ en met sommige kwantitatieve methoden. De hoofdstukken verduidelijken de risico’s van het toepassen van risicomanagement op basis van deze methoden.
Part III (‘How to fix it’, blz. 199-260) geeft Hubbard’s eigen kwantitatieve benadering van risicomanagement. Zijn suggesties lijken eenvoudig en praktisch. Hubbard legt sterk de nadruk op taal en communicatie. Risicomanagement vereist een heldere, duidelijke en afgebakende terminologie, die geen ruimte tot interpretatie laat en een risico dus beschrijft in voor ieder helder, duidelijk en uni-interpretabel taalgebruik. Ik vraag mij overigens wel af of alle risico’s meetbaar zijn, of kwalitatieve methoden van risicomanagement bij het ‘oud vuil’ gezet kunnen worden. Hubbard maakt echter wel duidelijk dat een fundamentele heroverweging van die methoden noodzakelijk is.
Het boek is een absolute aanrader voor risk managers, studenten, docenten en iedereen die een relativering van risicomanagement niet onaangenaam is. Het is een uitstekende inleiding in een zeer complex thema en maakt korte metten met de gangbare praktijk, die niet tot performanceverbeteringen leidt. Hubbard maakt duidelijk dat de gangbare benadering van risicomanagement een kaartenhuis is en er niet in geslaagd is de risico’s, die tot de kredietcrisis geleid hebben, op de kaart te zetten op een moment dat wetenschap ervan nog tot ingrijpen had kunnen leiden. Hubbard’s boek brengt het adagium: ‘Measurement is knowledge and when someone pretends to have a better risk assessment and/or risk management, let him prove to effectively be better’, op een overtuigende manier in de praktijk. De website bij het boek biedt veel aanvullende informatie en tests.
Het is niet acceptabel het over risicomanagement te hebben en Douglas Hubbard te negeren. Lezen dus, zeker al die bestuurders, topmanagers en politici, die voor korte termijn-gewin zoveel steken hebben laten vallen.
Deze column werd op 30 april 2010 geplaatst op Bevlogen Bespiegelingen, een blog die ik tot 2018 regelmatig aanvulde, maar daarna niet meer gebruikte en die nu niet meer bereikbaar is.