Risicomanagement

Resilience strikt genomen – Disaster management: Red Ants, Gray Rhinos, Black Swans, en de verhouding van BCM, Risico Management (RM) en Crisis Management (CM)

admin

Auteur: Manu Steens

Een eerste vraag die ik me stel: hoe verhouden deze begrippen zich t.o.v. elkaar?

Daarbij kan volgende figuur (de disaster tabel) soelaas bieden: dit gaat over Known Knowns.

Deze tabel geeft op zich een minimalistische schets als antwoord op “Wat kunnen Disasters zoal allemaal zijn?

Daarnaast zijn er Unknown Knowns zoals de Gray Rinho’s.

Dit zijn zaken die op ons afkomen, dat we weten dat ze er zijn, maar dat we er voor kiezen om ze niet te zien, of hen vergeten in rekening te brengen.

Gray Rhino’s zijn niet opdeelbaar in goed of slecht bekende kans en impact. De impact is groot. De kans is groot. Het is altijd goed bekend qua kans en impact, en kaderen zich dus binnen het kwadrant van Disasters, als volgt:

Daarnaast bestaan ook Known Unknowns. Dat zijn zaken waarvan we weten dat er “iets” is maar we weten niet goed wat juist. Daardoor kunnen we ze niet in rekening brengen. Deze zijn niet te klasseren met een kans of impact. De gevolgen kunnen wel of niet gekend zijn. De kansen evenzeer. Indien de gevolgen groot zijn, maar niet actief gekend, en de kans klein geschat wordt maar het plots optreedt, zonder dat we enige verwachting hadden van het gebeuren, spreken we van een Black Swan. De kalkoen weet niet waarom de boer hem altijd eten geeft, maar had een vermoeden kunnen hebben vanuit een wantrouwende “Waarom”-vraag. Maar de kalkoen kent ook het kerstfeest niet, en kan dus niet echt de kans van het gebeuren inschatten.

Tenslotte bestaan er Unknown Unknowns. Daarvan weten we niet dat we ze niet weten.

Niet alleen kennen we de kans en impact niet, we kennen de gebeurtenis niet, we kennen de aanleiding niet, we kennen de gevolgen niet. We kunnen er dus geen toekomstig voorbeeld van geven. Tenzij met terugblik op het verleden. (Hindsight) Was het juist van de priester om Adolf Hitler van de verdrinkingsdood te redden, toen die als kind door het ijs gezakt was?

Het is de bedoeling van Resilience management om zoveel mogelijk van deze vier groepen te leren kennen, en hen terug te dringen binnen de mogelijkheden, van het vierkant van de Known Knowns.

Dit geeft een mogelijke manier om resiliënce-noden te kaderen. Waarbij zit echter CM? Het antwoord is: overal. In alle 4 de groepen treedt CM actief op wanneer een bedreiging zich manifesteert. Omdat men de Known Knowns het best kent, is het altijd een voordeel om RM uit te werken en voor te bereiden.

Vraag 2: wat zijn historisch de meerwaarden van BCM, RM en CM ?

De bekende meerwaarden die reeds aanwezig waren bij deze drie disciplines in het verleden zijn:

  • Compliance met wetgeving en met opdrachtgevers
  • Bescherming van de reputatie van de organisatie en de sterkte van het merk
  • Voorlopig nog: competitieve voorsprong
  • Operationele verbeteringen
  • Vastleggen van de kennis en ervaringen
  • Waardebescherming

Vraag 3: wat zijn de “nieuwe” meerwaarden van BCM, RM?

De nieuwe meerwaarde waarmee ISO 31000 schermt:

  • Waardecreatie, en dus ook
  • Opnemen van opportuniteiten

Waardecreatie

  • Door het bestuderen van de bedreigingen bij nieuwe en bestaande projecten en processen kunnen deze bedreigingen aangepakt worden, zodat ze gebeuren met grotere kans op slagen en met minder kosten in de nazorgfase.
  • Hierdoor neemt ook de kwaliteit van de output en de outcome toe, waardoor een stevigere positionering in de markt mogelijk is, wat op zijn beurt potentieel klanten aantrekt.
  • Hierdoor verbetert direct de reputatie, waardoor een positieve spiraal ontstaat die zich afspiegelt in een betere marktwaarde van de organisatie en een positief effect genereert op de beurs.
  • Door het toepassen van RM in haar projecten zal een overheidsorganisatie mutatis mutandis een meerwaarde creëren op maatschappelijk vlak, wat ook meer inkomsten betekent voor de overheid en de private sector en dus weer een positieve waardespiraal creëert voor de maatschappij.

Opnemen van opportuniteiten

  • Wanneer er een opportuniteit zich aanbiedt, kan deze correct opgenomen worden, in die zin dat de risico’s die de organisatie loopt bekend zijn, en ze deze kan aanpakken om haar slaagkansen te optimaliseren.
  • Doordat RM een ‘outlook’ heeft, ziet men bedreigingen, maar ook opportuniteiten beter en sneller afkomen.
  • Doordat er een systematische rapportering gebeurt geïntegreerd in alle lagen van de organisatie en de processen en projecten van de business kan het beleid de opportuniteiten beter en sneller correct inschatten.

Deze meerwaarden gelden ook voor BCM.

Vraag 4: wat is de belangrijkste meerwaarde van CM?

Wat ik hierbij wil weten is wat er verwacht wordt door de medewerkers en door de maatschappij.

Mensen verwachten steeds meer van de organisaties. Ze willen dus zekerheid in onzekere tijden. Dit doet de organisatie door

  • De bedreiging (Threat) aan te pakken
  • De hoogdringendheid (Urgency) tegemoet te komen
  • De onzekerheid (Uncertainty) te bestrijden

De bedreiging (Threat) aanpakken

Bedreigingen zijn relatief en persoonlijk. De een zijn dood is de ander zijn brood zegt het spreekwoord. Maar er zijn ook algemene bedreigingen die ons allen raken. Het beste voorbeeld is wellicht terreur. Hoewel terreuraanslagen jaar na jaar veel minder slachtoffers eisen dan fijn stof, raakt het de mensen persoonlijk door de keuze van de werkwijze, de plaats van optreden en het moment. Deze kiest de terrorist zó dat hij angst maximaliseert. Deze angst raakt iedereen persoonlijk, omdat er willekeur is waar wanneer en hoe men slachtoffer kan zijn. De maatschappij weet het niet en daardoor richt iedereen van de potentiële slachtoffers zijn woede tegen de daders.

De hoogdringendheid (Urgency) tegemoetkomen

Hoogdringendheid is persoonlijk. Een potentiële crisis die u persoonlijk raakt is doorgaans hoogdringend zolang u nog hoopt op kansen om er aan te ontsnappen.

De onzekerheid (Uncertainty) bestrijden

Dit doet de organisatie voornamelijk door een opsplitsing te maken in operationeel management, communicatiemanagement en strategisch management.

Met het operationeel management kan de organisatie laten zien dat het probleem wordt aangepakt. Er gebeuren tegenacties en er zijn vorderingen waar te nemen. Met het strategisch management kan de organisatie doen aan sensemaking, en daarmee een begrijpen overhandigen aan de mensen in de omgeving van waar ze aan toe zijn. Daarbij kan de organisatie ook haar acties duiden, het waarom van acties verklaren dus, om haar aansprakelijkheden op te nemen. Alsook om lessen te leren, en de problematiek in de toekomst te kunnen vermijden. Met het communicatiemanagement kan de organisatie van zich laten horen over de situatie, dat het met de problematiek bezig is, en wat de verwachtingen zijn.

Vraag 5: En dan nu dit: Hoe zit dat met Red Ants?

Is dit een zoveelste uitvindsel om risico’s te beschrijven? Neen, eigenlijk niet. Het is een op natuurlijke manier ontbrekende disastersoort: incidenten met kleine tot gematigde impact en kleine tot grote kans, maar met de mogelijkheid om erg snel uit te groeien tot een Black Swan of een Gray Rhino.

Black Swans (Nicolaas Taleb): zeer kleine kansen, zeer grote impacts.

Gray Rhino’s (Michèle Wucker): Zeer grote kansen, zeer grote impacts

Red Ants: Zeer grote kansen, kleinere impacts.

Veelal zijn Red Ants de kleine incidenten zonder grote gevolgen die een verwittiging inhouden van imperfecties in de veiligheid van een systeem of organisatie. Doorgaans gaan een groot aantal red ants een gray rhino of een black swan vooraf. Naast het feit dat red ants een vervelend fenomeen zijn op veiligheidsvlak en veel brandjes te blussen geven, hebben ze een ernstige waarschuwende functie. Deze is: zoek de grondoorzaak en pak die ten gronde aan, of vroeg of laat gebeuren er echte ongelukken.

Zo is elke “diersoort” dus ernstig te nemen.

Vraag 6: En wat valt er dan allemaal aan te doen?

Wel, laten we dit schematisch terug voorstellen in de disastermanagement tabel:

Conclusies:

  • CM Oefeningen zijn het meest nodige aspect in disaster management.
  • Risicomanagement behelst preventieve maatregelen en beschermingsmaatregelen (naar analogie met de bow-tie analysemethode).
  • Onzekerheden hebben als kenmerk dat kansen slecht gekend zijn maar de impacts beter. Doorgaans door het slecht kennen van de oorzaken. Daardoor is er vooral nood aan beschermingsmaatregelen.
  • Ambiguïteiten hebben als kenmerk dat impacts slecht gekend zijn maar de kansen beter. Doorgaans door het slecht kennen van de gevolgen. Daardoor is er vooral nood aan preventieve maatregelen.
  • Bij een niet kennen van kans en impact moet men vooral op de uitkijk staan, om onverwachte zaken tijdig in te schatten en maatregelen in het beleid van de organisatie doorlopend te incorporeren.

Herhaalt de geschiedenis zich? Of niet?

admin

Auteur: Manu Steens

Voordat we deze vraag kunnen beantwoorden, moeten we een drietal zaken helder stellen, namelijk: lineaire gebeurtenissen, ingewikkelde gebeurtenissen en complexe gebeurtenissen.

Wat zijn lineaire gebeurtenissen ? Dit wordt algemeen beschouwd als gebeurtenissen die aangepakt kunnen worden door het toepassen van routinematige taken. Bijvoorbeeld een boom omhakken met een bijl. Er moet eventueel wel nagedacht worden naar waar de boom het beste kan vallen, want dat doet die niet steeds, maar over het algemeen is dit een taak die geen speciale hogere studies vereist. Wat niet wegneemt dat achter zo’n taak geen grote verantwoordelijkheid kan schuil gaan.

Een andere zaak zijn ingewikkelde dingen. Dit zijn dingen die mits voldoende inspanning, zoals het verwerven van voldoende kennis, nog net behapbaar zijn en voorspelbaar, maar niet voor een leek. Bijvoorbeeld een vliegtuig bouwen. Je moet voldoende weten van aërodynamica, materialenleer, brandstoffen, sterkteleer, normen, vloeistofdynamica en tegenwoordig zelfs elektronica en computerwetenschappen, om een vliegtuig te ontwerpen. Maar het lukt ons, mits we samenwerken.

Als derde zijn er de complexe systemen. Dit zijn zaken die we absoluut niet kunnen voorspellen. Niet zozeer omdat we onze eigen acties niet kunnen kennen, maar vooral omdat we niet alle parameters in een complex systeem kunnen kennen, onder andere omdat ze nooit twee keer dezelfde zijn. Of omdat het er teveel zijn. Enkele voorbeelden zijn de natuur, de klimaatveranderingen, de maatschappij, …

Dan komen we tot de uitspraak “de geschiedenis herhaalt zich” of de voorspelling “de geschiedenis zal zich herhalen”. De vraag die ik stel is, of in het kader van de voorgaande drie definities, deze uitspraken ernstig te nemen zijn. De vraag is ook of als er soortgelijke macro-toestanden (zoals een politiek stelsel, oorlogen,…) optreden, deze uitspraak daar eigenlijk wel op van toepassing is. We leven immers in een wereld, die gekenmerkt moet worden als een aaneenschakeling van zeer veel complexe systemen.

Een gedachtenexperiment zou ons na een gebeurtenis waarvan herhaling voorspeld wordt moeten kunnen terugbrengen naar de situatie voordat deze optrad. De vraag daarbij dan is of we dan met de kennis van het verleden, de toekomst kunnen voorspellen. Volgens mij niet, omdat we niet alleen geen vat hebben op alle parameters, of zelfs alleen al maar de relevante, we kennen ze zelfs niet allemaal. We weten het dus gewoonweg niet.

De voorspelling “de geschiedenis zal zich herhalen” is dus onnuttig. In de natuur, in het klimaat, in crisismanagement. Dit neemt echter niet weg dat we een positieve invloed kunnen hebben op de gebeurtenissen. Het nemen van maatregelen heeft altijd al zin gehad. Ook voor het klimaat. Ook nu. Omdat we het verplicht zijn aan toekomstige generaties, om ons best te doen om hen een leefbare wereld te gunnen.

Urgentie Assessment

admin

Auteur: Manu Steens

geïnspireerd door “Risk Management – Concepts and Guidance” van Carl L. Pritchard

Doel van dit type assessment:

Klassiek worden risico’s geëvalueerd op een risicomatrix, met typisch kleuren rood, oranje, geel en groen, naar aflopende waarden van het risico. De vakjes in die risicomatrix bevatten eveneens een waarde die afhankelijk is van de kans en de impact van de risicogebeurtenis. Binnen een zo’n vakje kunnen zich meerdere risico’s bevinden. Die kunnen dan allemaal een vergelijkbare kans en impact hebben volgens deze matrix en als dusdanig ook onder elkaar opgelijst worden in het risicoregister. Maar toch zijn er vaak nog redenen om het ene risico voor het andere aan te pakken, zoals bijvoorbeeld een tekort aan personeel. De vraag is dan in welke volgorde deze risico’s geprioriteerd worden. Daarvoor dient een urgentie assessment.

Opbouw van een sjabloon:

Omdat een urgentie assessment toegekend is op een sjabloon van de organisatie, zijn er twee sets van inputs nodig:

  1. De brainstorm voor het opstellen van het sjabloon
  2. De inputs van de project- / proces- / doelstellingen- / en strategische risico’s om het sjabloon op toe te passen.

De eerste hebben kennis nodig van de omgevingscondities. Die verschillen vaak op het niveau van de organisatie. Daardoor is een sjabloon vaak redelijk uniform binnen een organisatie, maar dit kan wijzigen in de tijd met de omgevingsvariabelen.

Het sjabloon is opgesteld als een tabel, met evaluatiecriteria per rij, en scorebeschrijvingen per kolom.

De outputs van dit assessment is een score die je bekomt als som van de waarden van de geldende kolommen per rij. Hoe hoger de score, hoe meer urgent het risico moet aangepakt worden.

Voorbeeld van een sjabloon:

Project naam: Risico event:
Urgentie Assessment
Evaluatie criterium

1

 2 3

4

 Score
Ervaring van het project/ proces / doelstellingen team met dit type risico Kennis van / competentie in workarounds en ad hoc oplossingen voor dit type. Enige ervaring in het afhandelen van dit type risico bij de teamleden. Een of twee teamleden die ervaring hebben met dit type risico. Geen enkel lid van het team heeft ervaring met dit type risico.
Kans dat het risico optreedt vóór de volgende review De kans is hoger naarmate later in het project en het treedt niet op voor de volgende review. De kans is even hoog later in het project als voorafgaand aan de volgende review. De kans is hoog voorafgaand aan de volgende review. De kans is het hoogst de volgende twee tijdsperioden (bijv. weken, maanden).
Klant gevoeligheid De klant heeft geen verwachtingen mbt dit risico en zou onderstellen dat we het oplossen. De klant verwacht dat dit probleem onmiddellijk opgelost wordt zonder uitstel. Dit risico treft meerdere modules en treedt snel op in het project. Dit risico treft meerdere modules en het project / proces is sterk afhankelijk van elk van hen.
Complexiteit van / integratie in het project / proces /doelstelling Het risico treft slechts een module van het project en die module kan onafhankelijk afgehandeld worden. Dit risico treft het gehele project / proces maar treedt slechts op het einde van de levenscyclus van het project / proces op. Dit risico treft meerdere modules en treedt vroeg in het project / proces op. Dit risico treft meerdere modules en het project / proces is sterk afhankelijk van elk van hen.
Visibiliteit Dit risico kan gemakkelijk geïdentificeerd worden op voorhand, wat een ingrijpen op het laatste moment toestaat. Het risico heeft een paar herkenbare eigenschappen die vroegtijdige identificatie toestaan. Dit risico is maar identificeerbaar op de moment dat het optreedt. Dit risico wordt maar geïdentificeerd als het gebeurd is.
Totaal

 

Stappen in het gebruik van deze techniek:

 

De eerste stap in het bouwen van dit sjabloon is het bepalen van de types van criteria die het ene risico meer urgent maken dan het andere. Criteria die het aangeven dat een of meerdere gebeurtenissen er staan aan te komen.

De tweede stap is het maken van een schaal. Voor elk criterium bepaal je een numerische schaal die de invloed aangeeft betreffende de urgentie van het risico, lopende van een hoog getal voor een hoge urgentie tot een laag getal voor een lage urgentie.  (In het voorbeeld is er slechts een enkele numerische schaal.)

Stap drie: valideer het sjabloon. De validatie is uit te voeren door het te testen tegen een aantal goed gekende gevallen van hoge en lage urgentie. Indien het sjabloon hier afwijkt van wat uit de historiek van de gevallen gekend is, moeten de schalen bijgesteld worden.

Stap vier: evalueer alle belangrijke risico’s. Dit zijn typisch de risico’s in de rode en oranje zone van de risicomatrix.

Stap vijf: prioriteer de risicogebeurtenissen. Rode risico’s met een hoge urgentie moeten de prioriteit krijgen op bijv. oranje risico’s met een lagere urgentie.

Stap zes: schik het risicoregister volgens de prioriteit en voer de maatregelen uit.

 

Noodplan aardbevingen

admin

Dit document reikt handvaten aan t.a.v. leidinggevenden en medewerkers van de eigen organisatie. Hierin staat opgenomen welke maatregelen een organisatieonderdeel en individuele medewerkers kunnen nemen als er zich een aardbeving voordoet om de continuïteit en het herstel van de dienstverlening maximaal te verzekeren. Dit kan opgenomen worden in de appendix van een BCP.

Icoon

Noodplan Aardbeving

1 file(s)   79.83 KB

Risicobepaling met risicotypologie

admin

Auteur: Manu Steens

De bepaling van de risico’s is een van de belangrijke stappen in Risicomanagement, om te komen tot een risicoregister met bijhorende actieplannen als tussenstap.

Daarbij is, volgens het subsidiariteitsprincipe de laagste in rang die zinvol de risico’s kan bepalen, de aangewezen persoon om de nodige risico’s op te lijsten. Dit geldt zowel voor risico’s op alle niveaus in de organisatie.

De eerste stap bestaat dus uit het bepalen van de doelgroep van de brainstorm voor de risico’s. Voor operationele risico’s kunnen dit proces- of projectverantwoordelijken zijn, maar tevens nieuwelingen die nog niet veel visie hebben op risico’s. Voor hen is het immers zo dat ze voortdurend in contact komen met onvoorziene zaken, en meewerken aan de risicoanalyse vijzelt hun awareness en alertheid op. Voor tactische en strategische risico’s kunnen dit directieraadsleden zijn. Ook de doelgroep van de risico’s moet bepaald worden. Voor de normale risico’s kunnen dit de leidinggevenden zijn, voor grote risico’s en strategische risico’s moet men rapporteren aan het topmanagement/beheerraad.

Wanneer men de doelgroepen voor het bepalen van de risico’s en de rapportering bepaald heeft, moet men de risico’s zelf gaan inventariseren. Dit kan men doen a.d.h.v. bijv. een risicotypologie. Daarbij bestaan meerdere mogelijkheden. Deze zijn steeds afhankelijk van de organisatie zelf, die dus goed gekend moet zijn door de personen die de gepaste risicotypologie kiezen / ontwerpen. Hieronder geven we een aantal voorbeelden van risicotypologieën (niet exhaustief).

Een eerste mogelijke opdeling is als volgt:

  • Financiële risico’s
  • Wettelijke vereisten
  • Wettelijke compliance
  • Imago
  • Specifiek voor de branche
  • Data integriteit en –betrouwbaarheid
  • Confidentialiteit van de data
  • Beveiliging van de eigen data
  • Disaster recovery en continuïteitsplanning
  • Operationele risico’s

Een tweede mogelijke opdeling is als volgt:

  • Externe risico’s
    • Natuur
    • Politiek / wet en regelgeving
    • Sociaal / maatschappelijk
    • Economie / markt , beurzen , …
  • Interne risico’s
    • Strategie
    • Juridische / financiële gevolgen rechtsvorm
    • Continuïteit
    • Kwaliteit
    • Fraude / Compliance …
    • Materiële risico’s (verlies beschadiging)
    • Veiligheid van mensen / middelen
    • Financiële risico’s
    • Kritische kennis
    • Capaciteit …

Een derde mogelijke opdeling is als volgt:

  • Operationele risico’s:
    • (Willem De Ridder, ‘Risicobeheersing met toegevoegde waarde’): “Het risico van verlies als gevolg van inadequate of falende processen, mensen en systemen of als gevolg van externe gebeurtenissen.”
  • Strategische risico’s:
    • (Lizanne Vroom, ‘Risicomanagement vanuit het Dynamisch Business Model’): “Het gevaar voor (kapitaal-)verlies en/of het voortbestaan van de organisatie als gevolg van veranderingen in de omgeving van de organisatie, het gebrek aan respons of een verkeerde respons op veranderingen in de omgeving van de organisatie, zakelijke nadelige beslissingen of een onjuiste implementatie van de gekozen strategie.”

Een handige manier om met deze risicotypologie te werken is om daarna te brainstormen met een SWOT-methode. Merk wel op dat het maken van deze SWOT wél een onderscheid maakt tussen interne zaken (sterktes en zwaktes) en externe zaken (opportuniteiten en bedreigingen), maar nog geen risicoanalyse is op zich. Het kan gebruikt worden om de risicostatements te formuleren a.d.h.v. elk item in de risicotypologie, ten overstaan van de operationele projecten, –  processen, – doelstellingen of strategische doelstellingen. Dus in feite om aan risico-identificatie te doen. De gebruikte risicotypologie kan daarvan tevens afhangen. Daarnaast is de SWOT-methode met haar confrontatiematrix geschikt om maatregelen te formuleren.

Een brainstormsessie houd je best met een groep van ongeveer 4 personen, o.l.v. een coach. Deze laatste moet de groep steeds uitdagen om de risicostatements deugdelijk te formuleren, en er tevens, volgens het principe van een Bow-Tie, er de oorzaken en gevolgen, oorzaken van oorzaken en gevolgen van gevolgen enz. te formuleren. Daarbij is de 5x ‘waarom’- en de 5x ‘wat dan’ vraagmethode van toepassing. Daarmee formuleren de deelnemers aan de brainstorm dan uiteindelijk de risicostatements in de vorm van ‘De organisatie / het proces / project … heeft probleem / opportuniteit … met als oorza(a)k(en) … en gevolg(en)…’.

Men kan daarbij kiezen om de oorzaken en gevolgen met het probleem uit te splitsen over meerdere risicostatements, of om de oorzaken te groeperen en de gevolgen te groeperen. Deze worden dan aangevochten met respectievelijk preventieve en reactieve maatregelen. De Bow-Tie methode is dan zeer geschikt om aan te geven of alle aangegeven oorzaken en gevolgen aangepakt worden met maatregelen.