Risicomanagement

Risicogestuurd werken in de praktijk

admin

Auteur: Martin van Staveren

Met dit boek wil de auteur aantonen dat het anders kan in risicobeheer dan wegkijken van risico’s, of het creëren van schijnzekerheid met een papieren tijger die risicomanagement moet voorstellen. Hij stelt risicogestuurd werken voor als oplossing.

Het boek leest zeer vlot, en geeft een andere manier van aanpakken dan conventioneel risicomanagement, door RM te integreren in de werking van de organisatie. Wat daarbij komt kijken vertelt de auteur in vier hoofdstukken. Wat is er bijgebleven ?

Hoofdstuk 1 begint met een beschrijving van het hedendaagse organisatielandschap, met zijn veranderingen, onzekerheden en tijdsgebrek. Die drie factoren hebben een invloed op iedereens werkzame leven in organisaties. Ondanks dit wil men de doelstellingen realiseren.

Relaties zijn er tussen organisatieverandering en onzekerheid door de redenen voor de verandering en de uitkomsten van de verandering.

Onzekerheden zijn de oorzaak waarom organisaties veranderen. Veranderingen hebben weer nieuwe onzekerheden tot gevolg. Dit leidt vaak tot het verzamelen van steeds meer informatie verzamelen en onderzoek doen en intensief vergaderen/afstemmen. Daardoor ontstaat tijdsgebrek. Zomaar meer gaan werken is geen oplossing.

Omgaan met onzekerheden om daarmee doelstellingen te realiseren betekent soms risico’s beperken, soms iets anders doen, maar vaak ook risico’s bewust nemen. Op een professionele manier met een correct gebruik van hulpmiddelen. En dat leidt tot de vraag “Wat is de huidige realiteit van (risico)management in organisaties in relatie tot het omgaan met onzekerheden?”.

Of: helpt de gangbare manier van managen bij het omgaan met onzekerheden van veranderingen of werkt het tegen? Zorgt het voor minder tijdsdruk of kost het allemaal meer tijd?

Een van de besluiten is dat RM noodzakelijk blijkt om de doelstellingen te realiseren maar vaak niet breed, diepgaand noch effectief wordt toegepast. Ondanks het feit dat organisaties steeds met meer complexiteit worden geconfronteerd, met tegengestelde belangen, een roep om meer en frekwentere verantwoording en een aanhoudende moeilijke economische situatie die veranderingen vereisen, wordt RM zelden enthousiast verwelkomd. Dit is de risicoparadox.

Daartoe moet overgegaan worden van conventioneel (risico)management naar vernieuwend management. Volgens Wouter Hart houdt dit het volgende in:

Verder geeft dit hoofdstuk nog vijf principes mee waarmee High Reliability Organizations (HRO’s) omgaan met het onzekere en het onverwachte:

  1. Gerichtheid op verstoringen: fouten zijn normaal. Vermijd echter escallatie ervan.
  2. Terughoudendheid t.a.v. simplificeren: niet alles op een A4-tje.
  3. Gevoeligheid voor de uitvoering: concentreer u op het primaire werkproces.
  4. Toewijding aan veerkracht: geen ‘anorexia organisaties’. Dan geeft een enkel ziektegeval al grote problemen.
  5. Respect voor expertise: besluitvorming bij de inhoudelijke experts i.p.v. bij managers.

Hoofdstuk 2 gaat over het wat en hoe van risico gestuurd werken. Dit moet geïntegreerd worden in de bestaande processen.

Eerst behandelt het hoofdstuk deze vier kernbegrippen als fundament:

  • Onzekerheid is onvolledige zekerheid die wordt veroorzaakt door onvermijdelijke variatie en/of gebrek aan informatie.

Er zijn zeven bronnen van onzekerheid door gebrek aan informatie (Van Asselt en Rotmans)

  • Risico is een onzekere gebeurtenis met oorzaken, een kans van optreden en effecten op doelstellingen.

Een praktische indeling in oorzaken in “Understanding industrial crises van Shrivastava: HOT-RIP

Een belangrijke opmerking is dat een risico niet zomaar kans maal gevolg is.

  • Risicoperceptie is de unieke wijze waarop een persoon een risico ziet.

Het is geen kwestie van goed of fout, maar van anders.

Belangrijke begrippen voor risicopercepties zijn beschikbaarheidsbias, Optimismebias, en bevestigingsbias. Diversiteit in de blik is daarbij een oplossing. Daarbij zijn er verschillende risicohoudingen mogelijk: risicoparanoïde, risicoaversief, risicotolerant en risicozoekend.

  • Risicomanagement is doelgericht, expliciet, gestructureerd, communicerend en continu omgaan met risico’s.

Hierover bestaan volgende misverstanden:

‘Risicomanagement biedt 100% zekerheid, vanaf nu gaat alles goed.’

‘Risicomanagement is moeilijk.’

‘Risicomanagement gaat over het voorspellen van de toekomst.’

‘Risicomanagement gaat alleen over vermijden van risico’s en is daarom alleen voor risicomijdende en angstige personen.’

‘Risicomanagement gaat alleen maar om het invullen van lijstjes.’

‘Risicomanagement is duur.’

Bij risicogestuurd werken komen deze zes risicoprocesstappen naar voor:

  1. Doelen bepalen.
  2. Risico’s identificeren.
  3. Risico’s classificeren.
  4. Risico’s beheersen.
  5. Risicomaatregelen evalueren.
  6. Overdracht risicodossier

Deze zes stappen zijn terug te vinden in raamwerken zoals ISO 31000, COSO ERM, RISMAN en zijn dus niet nieuw.

Ze kunnen alle zes gebruikt worden in elk van de zes gebruikelijke projectfasen:

  1. Verkenningsfase
  2. Voorontwerpfase
  3. Aanbestedingsfase
  4. Definitieve ontwerpfase
  5. Uitvoeringsfase
  6. Gebruiksfase

Daarna behandelt het hoofdstuk deze acht veelgebruikte hulpmiddelen: ook deze zijn niet uniek voor risico gestuurd werken en zijn in een of andere vorm terug te vinden in de literatuur:

  • Het risicodossier
  • Risicosessies
  • Scenario analyses
  • Risico gestuurd onderzoek
  • Risico gestuurde monitoring
  • Visgraatmethode met kruisjestabel
  • Contractuele risicoverdelingen
  • Risicoscans

De werkdefinitie van risico gestuurd werken wordt dan:

‘Risicogestuurd werken is het toepassen van de zes generieke risicoprocesstappen in werkprocessen.’

Daarbij worden de 20 kenmerken uit het eerste hoofdstuk verklaard.

Hoofdstuk 3 presenteert de belangrijkste voorwaarden die in organisaties aanwezig moeten zijn om het risico gestuurd werken daadwerkelijk te kunnen invoeren. Er zijn immers belemmeringen, zoals:

  • Gebrek aan tijd.
  • Subjectiviteit van de risico-inschattingen.
  • Angst voor Gray Rhino’s die opdoemen uit de mist van schijnzekerheid.
  • Moeite bij het kiezen van beheersmaatregelen.
  • Niet willen afwijken van bestaande werkmethoden.
  • Risico’s niet willen zien. (‘Ik heb daar een CRO voor.’)

Hoe kan risicomanagement dan in organisaties worden geïmplementeerd?

Er zijn vier algemene zaken over te vertellen:

  1. Vorm, functie en betekenis van RM zijn grotendeels ontastbaar en subjectief, wat een effectieve, efficiënten en duurzame implementatie gecompliceerd maakt.
  2. Specifieke aandacht voor implementatie van RM is onderontwikkeld.
  3. De implementatie van RM vereist een combinatie-aanpak van risicomanagement, innovatiemanagement en verandermanagement.
  4. Methodieken van RM moeten aangepast worden aan de structuur en cultuur van de organisatie en de verschillende typen van beoogde gebruikers.

De punten 1 en 2 zijn hierbij knelpunten, punten 3 en 4 zijn oplossingen.

De auteur geeft  aan dat er in totaal vijftien voorwaarden zijn die de inbedding van risico gestuurd werken in organisaties ondersteunen. Deze zijn te groeperen als volgt:

  1. Voorwaarden aan de organisatiestructuur:
    1. Rollen, taken en verantwoordelijkheden zijn formeel afgesproken.
    2. Het omgaan met risico’s is formeel gedelegeerd naar personen die dit als deel van hun dagelijkse taken doen.
    3. Het omgaan met risico’s t.a.v. de doelstellingen wordt formeel gerapporteerd aan leidinggevenden en toezichthouders.
    4. Er zijn formele afspraken gemaakt om het werkproces van de risicosturing aan te passen op basis van voortschrijdend inzicht.
    5. Er is formeel afgesproken dat de externe omgeving van de organisatie bij risico gestuurd werken wordt betrokken.
  2. Voorwaarden aan de organisatiecultuur:
    1. Binnen de hele organisatie worden eenduidige werkdefinities voor risicogestuurd werken gebruikt.
    2. Binnen de hele organisatie wordt beseft dat risico-inschattingen deels subjectief zijn.
    3. Binnen de hele organisatie worden verschillen in risicoperceptie en risicohouding expliciet uitgesproken en besproken.
    4. Risico gestuurd werken wordt door samenwerking in multidisciplinaire teams met leden van binnen en buiten de organisatie uitgevoerd.
    5. Binnen de hele organisatie is uitwisselen van risico-informatie vanzelfsprekend.
  3. Voorwaarden aan de methode:
    1. De methode is beschikbaar en toegankelijk voor alle beoogde gebruikers.
    2. De beoogde gebruikers ervaren de methode als gebruiksvriendelijk.
    3. Gebruik van de methode levert relatief voordeel voor de beoogde gebruikers.
    4. De methode sluit naadloos aan op de werkprocessen van de beoogde gebruikers.
    5. De kosten voor aanschaf, ontwikkeling en gebruik van de methode zijn acceptabel.

Finaal in het vierde hoofdstuk geeft de auteur nog een uitleg bij tien tips voor risico gestuurd werken:

  1. Risico gestuurd werken is geen succesgarantie.
  2. Risico gestuurd werken is méér dan een risicoanalyse.
  3. Instrumenten zijn ondersteunend, niet leidend.
  4. Cursussen zijn slechts het begin en vaak het eind.
  5. Doe een nulmeting naar de voorwaarden.
  6. Maak een flexibel implementatieplan.
  7. Managers moeten voorwaarden scheppen.
  8. Differentieer in toepassers van risico gestuurd werken.
  9. De stap van vroege vogels naar volgers is een sprong.
  10. Monitor de voortgang van risico gestuurd werken.

De zoon van een terrorist

admin

Auteur: Zak Ebrahim met Jeff Giles

In dit boek vertelt de zoon over zijn vader en moeder, zijn jeugd, zijn familie, en de wreedheden van de wereld.

Mensen zijn wreed voor elkaar als het er op aankomt, en erg kortzichtig. Het culturele laagje bovenop de kort door de bocht driften en instincten dat de mens enigszins onderscheidt van dieren is blijkbaar erg dun. Z heeft dit ervaren vanuit verschillende standpunten: haat ten aanzien van gelovigen van een ander geloof, haat van kinderen onderling die nog te jong zijn voor empathie, haat van volwassenen voor het simpel verbonden zijn aan een “dader” met bloedbanden, haat tegen een systeem waar je werd ontvangen maar niet in kon aarden, haat omwille van hebzucht, haat om je af te kunnen reageren en aan “de andere kant te staan”, maar ook berouw over dat laatste.

Wat Z bewijst is dat het allemaal keuzes zijn. Sommigen zijn daarin erg beïnvloedbaar. Anderen staan rotsvast voor hun eigenheid en beseffen dat zij zelf kiezen. Zij kiezen ondanks de omstandigheden. En ondanks de omstandigheden is iedereen aansprakelijk voor zijn eigen keuzes. Ongeacht een goede advocaat. Ongeacht een godsdienstige leider. Ongeacht het systeem. Ongeacht het zuivere feit dat velen met de vinger kunnen gewezen worden voor hun aandeel in jou keuze.

Daarom is terrorisme nooit goed te praten.

Daarom is het belangrijk dat iedereen beseft dat de eigen keuze een verschil maakt. Dat is in grote lijnen de hoop voor deze wereld. Dat is in grote lijnen de boodschap die ik lees in dit boekje.

Z hield er een TED talk over. Die vind je hier: https://www.youtube.com/watch?v=lyR-K2CZIHQ

Lessons identified uit dit leven kunnen zijn:

  • Mensen kunnen zelf blijven kiezen ondanks de hatelijke omstandigheden.
  • Alles kan misbruikt worden, ook geloof.
  • Er zijn vier belangrijke pijlers in een mens zijn/haar leven:
    • familie en vrienden,
    • werk,
    • woonst,
    • (psychische) gezondheid.
  • Hoop steeds op het begrip van anderen, maar verwacht het niet.
  • Leg steeds eerst een stevige vriendschapsband met mensen voor je je kwetsbaar opstelt naar derden.
  • Leer telkens terug te vertrouwen.

IRGC Guidelines for the governance of systemic risks

admin

IRGC

Veel van de uitdagingen van de dag van vandaag hebben te maken met klimaatwijzigingen, verlies aan biodiversiteit, degradatie van het ecosysteem, blootstelling aan chemicaliën,… en deze zijn allemaal gekarakteriseerd door een hoge graad van complexiteit. Ze hebben vaak meerdere oorzaken en interne terugkoppelingen binnen en externe terugkoppelingen tussen systemen en in de tijd. Ze zijn vaak moeilijk te definiëren, te bepalen, en het is vaak zelfs moeilijk om het er als mensen over eens te zijn. Dit steekt schril af tegen conventionele risico’s zoals klassieke milieukwesties: waterkwaliteit, voedselproblematiek, afvalwater van de steden, management van afval en afvalwater,… die meer succesvol worden afgehandeld.

De analyse in dit document heeft te maken met traag evoluerende catastrofale risico’s. Hoewel ze vaak te voorzien zijn, kunnen we ze vaak niet tegenhouden omdat ze ingebouwd zitten in de aard van complexe adaptieve systemen. Bovendien is een van de definiërende eigenschappen van onze moderne wereld de onderlinge samenhang van deze complexe adaptieve systemen. Maar wat zijn nu eigenlijk die systeem risico’s?

Systeem risico’s zijn de “dreiging dat individueel falen, accidenten of onderbrekingen die optreden in een systeem zich voortzetten doorheen het systeem door middel van een besmettend effect”. Het refereert aan een risico of een kans van het falen van een gans systeem in tegenstelling tot het falen van een enkele component. Er is dus sprake van een cascade van falen, dat het grotere systeem betrekt. Meer abstract is een systeem risico “een risico op een fasetransitie van een evenwichtstoestand naar een andere, die veel minder opportuun is, gekarakteriseerd door meerdere zelfversterkende terugkoppeling mechanismen die het moeilijk maken om de evolutie van het systeem om te keren”. Systemen die hier kwetsbaar voor zijn hebben ook vaak de eigenschap onderling verbonden te zijn. Voorbeelden van systeem risico’s zijn de financiële crisis van 2008, de uitdroging van de Aral zee, en de overbevissing van de oceanen.

De guideline voor “the governance of systemic risk” stelt een aanpak van 7 onderling verbonden stappen voor:

  1. Verken het systeem,
  2. Ontwikkel scenario’s,
  3. Bepaal de doelstellingen,
  4. Co-ontwikkel management strategieën,
  5. Richt u tot niet-verwachtte hindernissen en plotse kritieke shifts in het systeem,
  6. Beslis, test en implementeer,
  7. Monitor, leer, herzie en pas aan.

Hierbij is er iteratie nodig tussen en binnen elke stap.

Het proces moet gecoördineerd worden door een “navigator” die een bepalende rol speelt bij het bij elkaar brengen van de verschillende stakeholders. Tevens zorgt hij voor een effectieve implementatie van het proces en helpt met het schipperen van de ene transitie van het systeem naar de andere. Daarbij kan het nodig zijn dat de organisatie regelmatig haar doelstellingen bijstelt.

Het proces betrekt ook het aanpakken van onverwachte hindernissen en plotse kritieke shifts. De grote obstakels moeten uiteraard gekend zijn voordat de strategie bepaald wordt. Maar er moet dus ook aan plotse barrières gedacht kunnen worden. Aanpassingsmogelijkheden van de organisatie zijn dus een vereiste.

Het governance process voor systeem risico’s moet open staan voor een variatie aan mogelijke instap punten, afhankelijk van waar de organisatie staat in haar evolutie, rekening houdend met het verloop en de timing van de ontwikkeling van de bedreiging.

En bij dit alles zijn communicatie, openheid en transparantie objectieve universele vereisten om moeilijkheden tegen te gaan bij het bepalen van causale relaties, psychologische obstakels en vaak lange latentieperioden. Hierbij zijn rondetafels en platformen waar informatie gedeeld wordt een vereiste voor het creëren van besef van bestaande noden en de aanvaarding van de realistische management opties.

The Gray Rhino – How to recognize and act on the obvious dangers we ignore

admin

Auteur: Michèle Wucker

In dit boek vertelt de auteur over zaken die ongemakkelijk zijn. Het gaat niet om “Black Swans” maar om “Gray Rhinos”. Wat is het verschil? Daar waar zwarte zwanen erg in trek zijn als gebeurtenissen met kleine kans maar grote impact, zijn grijze neushoorns gebeurtenissen die veel voorkomen, dus een grote kans hebben, en een grote impact hebben. Daar waar zwarte zwanen moeilijk voorspelbaar zijn, of totaal onverwacht optreden, ziet men grijze neushoorns vaak al op de horizon. Maar vaak kiest men er voor om ze niet te (willen) zien.

Dus zijn er enkele vragen die we ons kunnen stellen, waarop de auteur doorredeneert, zoals “Wat zijn voorbeelden” en “Wanneer moeten we dan reageren?” en “Waarom negeren we ze terwijl de kosten en gevolgen vanzelfsprekend zijn, en vaak groter dan we zelfs denken, en we dit weten?”

Op deze vragen probeert de auteur een antwoord te geven, door de stadia van de neushoorn-gebeurtenissen te ontleden. Deze stadia zijn: Voorspelling die ontkenning uitlokt, ontkenning, aanmodderen, diagnose van de situatie, paniek, actie, en de nabehandeling  “because a crisis is a terrible thing to waste”.

Een zeer belangrijk advies van de auteur is: denk lange termijn.

Maar de belangrijkste take aways van het boek staan in het laatste hoofdstuk: in dat hoofdstuk geeft de auteur een “Gray Rhino Safari Guide”. Dat zijn een set van principes om met de stadia van de grijze neushoorn om te gaan, dus “How to Not Get Run Over by a Gray Rhino”. Deze zijn:

1° Erken de neushoorn. Het erkennen van het bestaan van grijze neushoorns is een stap opzij wanneer hij komt aanstormen. Maar meer dan dat, daardoor kan je problemen anders gaan leren bezien en omvormen tot een opportuniteit. Durf dus ongemakkelijke vragen stellen. Horen zien en zwijgen is geen goed idee.

2° Definieer de neushoorn. Na enige oefening herken je een aantal neushoorns. En dat kan op zich zeer intens zijn. Je kan niet met alle problemen tegelijk rekening houden. Dus moet je prioriteren. Maar daarvoor moet je een scope definiëren van de neushoorns. De manier waarop je dit doet is van belang om mensen te laten reageren.

3° Sta niet stil. Als je de grote dingen die je moet doen niet in een stap kan uitwerken, doe het dan in kleine stapjes. Je mag eventueel een tijdje aanmodderen, zolang dit aanmodderen je maar op weg helpt om actie te ondernemen. Indien mogelijk maak je best tijdig een plan. Bijvoorbeeld, op persoonlijk vlak, doe je gordel om als je gaat autorijden. Niet elke rit leidt tot een ongeval, maar het kan altijd. Voorbereidheid is de sleutel tot succes.

4° Een crisis “is a terrible thing to waste”. Soms kan je niet uit de weg gaan van een neushoorn en word je vertrappeld. Dan is het zaak om niet te blijven liggen maar om op te staan, herstelwerken uit te voeren, en waar mogelijk ook verbeteringen aan te brengen t.o.v. de oude situatie.

5° Blijf windafwaarts. De beste leiders reageren op een bedreiging als deze nog ver weg is. Want zij weten dat de kosten en de kansen op impact alleen maar toenemen bij uitstelgedrag. Daarbij moet afstand genomen worden van groepsdenken en andere bias die vermeld staan in het boek. Helaas volgt niet iedereen de raad van Kennedy “to fix the roof when the sun shines”.

6° Wees een neushoornspotter, word een neushoornbewaarder. Een persoon die een (vanzelfsprekend of niet) groot gevaar zien afkomen op de organisatie, dat door anderen genegeerd wordt. Iemand die spreekt wanneer anderen zwijgen. Daar begint de eerste stap naar succes mee. Daarna moet je anderen meekrijgen. Een nood duiden is een ding, maar het harde werk ligt in overtuigen tot en uitvoeren van gepaste acties. Je moet dus tegen de massa durven ingaan. Je moet dus een beetje gek zijn. Maar ook moedig. Want het vergt vaak een opoffering van jezelf.

Three Steps Starting Effective and Efficient Risk Management according to ISO 31000

admin

Auteur: Dr. Frank Herdmann

In een dun boekje van 70 blz legt de auteur zowel in het Engels als in het Duits ISO31000 uit. Weer een ander handboek zal u zeggen. Ja, maar ditmaal gaat het over versie 2018 en in dit boekje ligt er enige nadruk op kleine en middelgrote organisaties. Uiteindelijk mag men niet vergeten dat het implementeren van een ISO norm zoals ISO 31000 voor een kleine of middelgrote organisatie een relatief veel grotere inspanning is dan voor een grote organisatie, die er een VTE (VolTijdse Eenheid) of een heel team op kan zetten. Daarom zijn enkele vereenvoudigingen nodig, zonder echter aan de kern van de boodschap van de norm te raken. Daarmee is deze aanpak dan ook ineens een Quick start voor de groteren. Die Quick start wordt gerealiseerd in drie stappen die de onderneming moet nemen:

“Establishing the Framework” (Opzetten van het Raamwerk)

“Establishing the Process” (Opzetten van het Risico Proces)

“Implementing and Executing the Risk Management Loop” (Implementeren en Uitvoeren van de Risico Management Loop)

Maar waarom moeten we dit doen? Het doel van risicomanagement volgens deze nieuwe norm is waardecreatie en waardebescherming. Dat leest u juist. Risicomanagement is te beschouwen als een meerwaarde en niet als een kost. Ook als een beschermingsfactor, o.a. door kosten te vermijden, of te minimaliseren, brengt het op. Die meerwaarde kan enorm zijn. Ook door de verplichtingen en aansprakelijkheden van het management voor nalatigheden van de organisatie, door bijvoorbeeld het ondersteunen van een goede, correcte en gedragen governance.

Het boekje begint met een redelijk uitgebreide introductie, die start bij ISO 31000 versie 2009 en het succes dat er van uitging.

Het doel van het boek is niet om een uitgebreide beschrijving te geven van de implementatie van ISO 31000 zoals die moet uitgewerkt worden door de grote organisaties (met zijn drie pijlers: raamwerk, principes en proces).

 

De principes, zijn in feite de succesfactoren of succes criteria van het risicomanagement en dienen het uiteindelijke doel: het creëren en beschermen van waarde.

De twee belangrijkste principes hierbij zijn volgens de auteur “Integrated” en “customized”.

Het is de bedoeling om de eerste kennismaking met ISO 31000 toegankelijker te maken voor de kleine en middelgrote organisaties. Er staat dan ook geen uitgebreid of gedetailleerd advies in. Wel een aantal zaken die uitgewerkt moeten worden om te kunnen spreken van een volwaardig risicobeheer, maar dat kan vaak met de kennis, vaardigheden en middelen die reeds aanwezig zijn in de organisatie. Daardoor wordt dit project ook draaglijk voor een kleine organisatie. Voor hen is deze handleiding dan ook reeds een eerste aanzet van aanpakmethode op maat.

Kijken we even naar deze drie stappen.

 

Opzetten van het Raamwerk: Dit stuk is wellicht het onderdeel van de norm dat het meest open staat voor maatwerk.

Het raamwerk moet immers op maat zijn van de organisatie, dat spreekt voor zich. De auteur legt daarbij nadruk op twee pijlers ervan, namelijk leiderschap (effectiviteit vereist immers een sterk en volhardend commitment van alle niveau’s van management d.m.v. een beleidsdocument of zoiets, dat duidelijk stelt wat de objectieven van de oranisatie zijn alsook dit commitment) en organisatiecultuur. Hierbij is het zogenaamde ETTO-principe van belang. ETTO staat voor “Effectivity – Thoroughness Trade Off”. () Er moet namelijk een evenwicht ingesteld worden tussen effectieve business, en hoe doordacht het risicobeheer is. Als er teveel “doordenken” is volgens de kaart van risicobeheer, is dit nadelig voor de effectiviteit van de business. Als echter de business teveel de kaart trekt van effectief en efficiënt handelen, bijv. door te overdrijven met “lean”, kan dit het risicoafhandeling en -voorkoming benadelen. Bijv. door het elimineren van elke vorm van redundantie. Trade Off betekent dus eigenlijk dat er een gulden middenweg moet gevonden worden. Risicomanagement moet dus binnen de grenzen van het ETTO principe ingebracht worden in de organisatie, in al haar processen en op alle niveau’s op een gedragen manier. Dus moet het op maat zijn van de organisatienoden en -cultuur.

Verder motiveert de auteur dat risicobeheer tevens kan gemapt worden op alle organisatorische activiteiten als een plug-in dongle.

 

Het opzetten van het Risico Proces: Het risico management proces moet integraal deel uit maken van alle structuren en activiteiten. D.w.z. van het organigram, de operations, het businessmodel, en de processen. Het raamwerk moet dus in principe herbekeken worden bij elke wijziging aan een business proces. De kern van het risicobeheerproces is echter risico assessment en implementatie van de maatregelen: risico identificatie, risico analyse, risico evaluatie en risicobehandeling. Dit gebeurt in een iteratief proces. Feitelijk bestaat het dus uit twee processen: de PDCA cyclus ter aanpassing van het risicobeheerproces enerzijds en het operationele risicobeheer dat moet plaatsgrijpen bij alle organisatorische processen en projecten anderzijds.

Dit risico assessment wordt verder uitgebreid besproken qua mogelijke technieken in ISO 31010:2009. De beslissingen die dan kunnen genomen worden kunnen samengevat worden door:

  • Vermijden van het risico
  • Nemen of verhogen van het risico
  • Verwijderen van de risico-oorzaak
  • Wijzigen van de kans
  • Wijzigen van de gevolgen
  • Delen van het risico met een of meerdere andere partijen
  • Weerhouden van het risico met een geïnformeerde beslissing

Parallel aan deze cycli gebeurt er rapportering, waarbij teveel details kunnen zorgen voor verwarring of een vals veiligheidsgevoel. Hier geldt dus “less is more”.

 

Implementeren en Uitvoeren van de Risico Management Loop: Het is om meerdere redenen best om de risico management loop te gebruiken tijdens het design en de implementatie van de (kern)processen van een organisatie: lagere kosten, minder inspanning, en synergie tussen de processen en de risico loop. Idealiter zijn deze processen reeds samengebracht in een manual van de organisatie. Deze risico loop wordt best ingebracht in de processen bij aanvang van het proces waarbij informatie of schattingen worden gebruikt. Het wordt best herhaald wanneer er nieuwe informatie wordt toegevoegd, of er nieuwe schattingen worden gemaakt, of bij wijzigingen aan het procesverloop. De risico eigenaar voor dit proces of dit deel van het proces beschouwt dan best voordat hij de eerste stappen van het business proces uitvoert of er een onzekerheid het proces en haar outcomes en objectieven beïnvloedt of kan beïnvloeden.

Een eerste maturiteitsniveau van risicobeheer door introductie van de risicobeheerloop m.b.v. check lists zal een gigantische eerste stap zijn om te beginnen met een effectief en efficiënt risicobeheer. Een even grote stap is mogelijk door het integreren van risicobeheer van een silo-activiteit dat eenvoudigweg risico’s registreert op regelmatige basis naar een pro-actief en geïntegreerd risicobeheer volgens ISO 31000:2018.

 

Interne Audit moet eveneens geïntegreerd worden, of anders gezegd, gealigneerd worden, met het risicobeheer en dat op alle vlakken: alle activiteiten en alle processen. Dit beïnvloedt eveneens de planning van projecten en processen en operaties. Het monitort de uitvoering van de risico management loop binnen de business processen en activiteiten. Omgekeerd kunnen de resultaten van het risicomanagement de planning van Interne Audit beïnvloeden.

 

 

Een risico register is een veelgebruikte methode voor het monitoren, herzien, registreren en rapporteren van risico’s.

Continue Verbetering

Het toepassen van de PDCA cyclus, ook gekend als de Deming cyclus, zal de risico management loop verbeteren en verfijnen in de loop van de tijd. Daardoor haalt het op termijn een hoger niveau van maturiteit. Risicobeheer, zoals alle skills, vraagt immers ook training, ervaring, kennis en kundigheid en staat ook open voor continue verbetering, juist door die PDCA cyclus. Daarbij zullen stelselmatig de skills verbeteren door gebruik te maken van complexere maar beter geschikte assessmenttechnieken uit ISO 31010:2009. (10000 uren regel van Malcolm Gladwell: Outliers. The story of Success, New York 2008)