Hoe een maatregel van BCM en Risico Management beoordelen?

Written by Manu Steens in BCM,Risicomanagement 

Auteur: Manu Steens

In deze bijdrage geef ik mijn eigen mening, niet die van enige organisatie.

Inhoud

Context

Binnen Risicobeheer en Bedrijfscontinuïteitmanagement worden, elke managementdiscipline doet het op een eigen manier, risico’s en onzekerheden bekeken om in een VUCA wereld meer zekerheid te hebben op het slagen respectievelijk overleven van de eigen organisatie.

De min of meer kort door de bocht gestelde manier van werken is dat via een assessment maatregelen gekoppeld worden aan bedreigingen. (Ik beperk hier bewust risico’s tot bedreigingen, om de focus op het verhaal niet te verliezen, terwijl misschien wat verder volgt deels kan gelden of een analogon kan krijgen voor opportuniteiten.)

Die maatregelen kosten geld en moeite en moeten dus verantwoordbaar zijn. Tot nu toe las ik in de literatuur en kreeg ik op conferenties enkel twee antwoorden:

  • Kijk naar de kosten versus baten: als het
    voorkomen of mitigeren meer kost dan de schade wanneer het risico zich
    manifesteert is het de moeite niet waard.
  • Kijk naar de inschatting van het restrisico, als
    dat onvoldoende gedaald is naar uw gevoel, is het geen goede maatregel. Het
    verschil tussen het oorspronkelijke risico en het risico na de maatregel moet
    dus voldoende groot zijn.

Tot nu toe zal het je niet ver brengen

Daar spring je echter niet ver mee als je een argument wil onderbouwen als procesmanager ten aanzien van een risicomanager of bedrijfscontinuïteitsmanager die het dan op diens beurt moet bespreken met de directie of de Chief Resilience Officer (CRO) of in de C-suite.

Wat meer is: een procesmanager wil doorgaans hands-on argumenten, terwijl een directielid of hoger meer strategische argumenten wil. En dan komt het principe achter de hoek: geef Caesar wat Caesar toekomt. Er zijn dus operationele en strategische criteria nodig waarmee je elke maatregel moet beoordelen.

Zonder volledig te willen zijn in de criteria, noch de aandachtspunten die daarbij kunnen horen wil ik hier een mogelijkheid schetsen door een voorstel van dergelijke criteria. Merk op dat elk criteria te bekijken en verder in en aan te vullen is door die organisaties die er gebruik van willen maken. De voorbeelden van invulling zijn louter illustratief en zeker niet limitatief.

Operationele review

Bekijk als risicomanager of als business continuity manager de maatregel operationeel met procesverantwoordelijke op volgende criteria (waar van toepassing):

  • Betrouwbaarheid (Bijvoorbeeld als een deel uit ligt, is er back up van processen, mensen, redundante opbouw van organisatie, infrastructuur, processen, mensen…)
  • Onderhoudbaarheid (Bijvoorbeeld het gebouw, haar equipment, haar processen, scholing en opleiding, …)
  • Beschikbaarheid (Bijvoorbeeld noodnummer, netwerk, realisaties, onafhankelijkheid, zichtbaarheid…)
  • Uitvoerbaarheid (Bijvoorbeeld Is het organiseerbaar? Welke wettelijke structuur is nodig, benodigde financiën, benodigde menskracht,…)

Strategische review

Bekijk als risicomanager of als business continuity manager de maatregel strategisch met de leidinggevende (directie, CRO, …) op volgende criteria (waar van toepassing):

  • Proportionaliteit (Vooral: Is een kosten baten mogelijk, niet enkel met return on investment (ROI) maar vooral met value on investment (VOI)? ‘Met het benodigde geld kan op een andere manier meer nood gelenigd worden dan er hier kan voorkomen worden’ betekent dat er disproportionaliteit zou zijn; welk soort evaluatiemodellen zijn daar bij nodig?)
  • Voorzichtigheid (Bijvoorbeeld Wat is een leven waard? Hier is geen regel van maximum voorzichtigheid denk ik, de vraag is eerder of binnen de budgetten voorzichtiger kan gehandeld worden?)
  • Effectiviteit (Onder andere is in de kosten-baten analyse de baten groot?, is de informatiedoorstroom tussen de juiste spelers? Is er oog voor kwaliteit door de risico’s in kaart te brengen? Is de organisatie ondersteunend aan de operationele en strategische vereisten? Haalt het de doelstellingen genoeg op tijd (voor het optreden van voorspelbare crisissen) om oefeningen te kunnen realiseren om voorbereidheid op toekomstige crisissen te creëren?)
  • Efficiëntie (Onder andere is in de kosten baten analyse de kost klein?, is de informatiedoorstroom vlot? Is er wil tot samenwerken binnen de netwerken, en is dit met subsidiair beslissingsbevoegdheid, wat een kwaliteitsvereiste is? Is de organisatie flexibel herorganiseerbaar, en is er een vlotte samenwerking met de overheid? Worden milestones voor de plannen tijdig gehaald?)

Tenslotte

Met een dergelijke framework van argumentatie doordacht de juistheid van een maatregel onderbouwen, kan helpen om ondoordachtheden of willekeur te voorkomen bij het vooropstellen van te implementeren maatregelen.

Als dan zowel op de operationele level als op de strategische level op subsidiaire wijze geconstateerd is dat de maatregel zin heeft, is het wellicht veiliger om de maatregel door te voeren voor alle partijen, als verantwoording naar een eventuele audit nadien mocht het toch nog mislopen achteraf.

Het is me echter niet duidelijk of deze manier van werken kan doorgevoerd worden in crisisbeheer, hoewel de concepten van operationeel en strategisch crisisbeheer bestaan. Wellicht kan het bij projectwerking in de nazorgfase. Maar dat op zich is wellicht een idee voor anderen.

Manu Steens

Manu werkt bij de Vlaamse Overheid in risicomanagement en Business Continuity Management. Op deze website deelt hij zijn eigen mening over deze en aanverwante vakgebieden.

Leave a Reply

Your email address will not be published. Required fields are marked *

Recent Posts