| Hoe leg je het begrip Risico van A tot Z uit in een stukje blog? Met het woord ‘risico’ wordt op verschillende manieren omgegaan. Ook de risicotypes waarmee de organisaties te maken hebben, zijn verschillend van aard. De belangrijkste risico’s zijn de risico’s die betrekking hebben op de doelstellingen van de organisatie, namelijk het direct of indirect dienen van / verkopen aan de klant en dus de zogenoemde operationele risico’s die vaker voorkomen bij projecten en processen in uitvoering. Hieronder wordt vanuit een breder kader van risico’s aangegeven waarom Bedrijfscontinuïteitsmanagement (BCM) binnen de familie van risicomanagementwetenschappen belangrijk is voor risicobewuste organisaties. Risico van A tot Z dus. | In deze bijdrage geef ik mijn eigen mening, niet die van enige organisatie. Geïnspireerd door het artikel “Operational Risk Management: a primer” van John Robinson, FBCI, UK |
Inhoud
Wat is Operationeel Risico Management? (ORM)
Zoals de meeste begrippen die met risicomanagement te maken hebben, komen veel van deze begrippen uit de bankwereld en de financiële wereld. Maar het begrip is zeer universeel rekbaar over alle types van organisaties. Een definitie voor operationele risico’s wordt in het Basel II-akkoord als volgt gedefinieerd:
“Het risico van verlies resulterend uit een inadequaat of falend intern proces, mens en systemen, of door externe omstandigheden.” (Basel II-akkoord)
Het gaat om de inherente eigenschap van processen, mensen en middelen die kunnen falen, met ongewenste effecten tot gevolg.
Operationeel risicomanagement
Operationeel Risicomanagement handelt meestal over volgende zaken:
- Integriteit en robuustheid van processen en procedures;
- Mensen, hun talenten en hun vorming;
- Verzekering en zelfverzekering;
- Outsourcing en daarbij horend overerving van risico’s en risico’s van de supply chain (dus leveranciers en klanten zijn belangrijk);
- Infrastructuur, systemen, en telecommunicatie;
- Fysieke beveiliging en informatieveiligheid. (zie daarvoor ook ISO 27002)
Merk op dat door deze (niet-limitatieve lijst) ICT security een deelgebied wordt van ORM.
Hoe een operationeel risico managen?
Het managen van risico’s ligt in het begrip en het management van twee concepten die het risico bepalen: verlies en waarschijnlijkheid.
Verlies kan men definiëren als “…elk financieel of op een andere wijze ongewenst effect dat een negatieve invloed heeft op een of meerdere geïnteresseerde partijen, als resultaat van een operationeel falen”.
Merk op dat men daarmee een breed gamma van grijpbare en ongrijpbare zaken bedoelt:
- Boetes door ontijdige leveringen, of verkeerde leveringen;
- Reputatieverlies;
- Verlies van werknemers;
- Verlies van loon, compensaties of voordelen;
- Overdadig overwerk;
- Fysiek of psychisch trauma, hospitalisaties of overlijdens.
Waarschijnlijkheid en verlies
Waarschijnlijkheid is in deze context gedefinieerd als “…de kwalitatieve of kwantitatieve beoordeling van kans van optreden van een bepaald operationeel falen.”
Het is dus een statistisch gegeven waar men geen exact getal kan plakken op het optreden van zeldzame operationele falingen. Dit brengt ruimte aan voor subjectiviteit en schattingen.
Het feit dat verlies en waarschijnlijkheid niet geïsoleerd kunnen bestaan, en dus het begrip risicobeschrijving vereist, kan als volgt worden geïllustreerd met een risicobeschrijving van het falen van een server :
“Een server heeft een gemiddelde tijd tussen falen (mean time between failures) van 10000 uur en een gemiddelde hersteltijd van 24 uur. Bij faling verwachten we een verlies van €50000 wegens niet-uitgevoerd werk en hogere personeelskosten voor inschakelen van tijdelijke werkkrachten om achterstand weg te werken.”
Uiteraard bestaan er andere bedreigingen dan het falen van een server.
- Diefstal van middelen;
- Sabotage;
- Elektriciteitspanne;
- …
Wat is een bedreiging
Een bedreiging kan men als volgt omschrijven: “Elke onvoorspelbare gebeurtenis die aanleiding kan geven tot faling in processen, procedures, mensen, middelen,… ondanks de bestaande genomen maatregelen.”
Een bedreiging kan aanleiding geven tot verschillende soorten falingen, en omgekeerd kunnen meerdere bedreigingen een hand hebben in eenzelfde type van faling. Deze redenering is aanleiding tot het begrip ’Risicoprofiel’ van een organisatie. Dat bestaat uit drie types profielen:
- Het bedreigingsprofiel: hoe relevant is een bedreiging voor een organisatie?
- Het verliesprofiel: hoe voelt de organisatie het verlies feitelijk (min of meer als pijn) aan na een verstoring?
- Het gap-profiel: welke maatregelen zijn reeds genomen, welke gaten bestaan nog in de verdediging, hoe goed is het ‘schillenmodel’ van de weerbaarheid uitgewerkt? En waar bestaat er (onnodige of nodige) overlap van maatregelen?
Daarbij zijn o.a. de volgende begrippen belangrijk:
- Afhankelijkheden: bijvoorbeeld een UPS (Uninteruptable Power Supply) is een goed systeem tegen een elektriciteitspanne, maar de organisatie is daarbij zelf afhankelijk van de (goede werking van) de eigen noodaggregaten, van de ploegen van technici die herstellingen kunnen uitvoeren bij de elektriciteitsleverancier en eventueel van een vlotte communicatie met brandstofleveranciers voor de noodaggregaten.
- Scenario’s: de feitelijke opeenvolging van gebeurtenissen, getriggerd door de materialisatie van een bedreiging. Gezien de snelle opeenvolging van gebeurtenissen en de uitgebreide mogelijkheden van het onvoorziene, kan dit scenario snel complex worden.
Conclusie
Verbetering van het risicoprofiel kan met dit model dan op drie manieren:
- Bedreigingen voorkomen, reduceren, delen of afwenden;
- ‘Gaps’, gaten in de beveiliging en kwetsbaarheden of zwakheden bijwerken met maatregelen;
- Herstelmaatregelen introduceren zodat voor ‘worst case scenario’s’ de duurtijd van de uitval van de kritieke processen minimaal blijft. (Dus het uitwerken van o.a. een BCP)
Deze gedachtegang over operationele risico’s geeft een inzicht in een van de redenen waarom BCM belangrijk is: BCM verbetert het risicoprofiel van de organisatie.