Hoe is risicomanagement te definiëren?

Auteur: Manu Steens

In deze bijdrage schrijf ik mijn eigen mening, niet die van enige organisatie.

Definitie van Risico

Het woord risicomanagement is op te delen in twee woorden: risico en management. Je moet daarom iets weten over beide hun eigen aard.

ISO 31000 definieert risico als “het effect van de onzekerheid op het behalen van de doelstellingen”.

Praktijk

Deze definitie van risico’s is zeer theoretisch en wordt in praktijk vaak vertaald als

Risico = Kans x Impact.

Deze definitie werkt goed voor een risico-analysemethode zoals de vlinderdasmethode (‘Bow-Tie’) waar het risico geïdentificeerd wordt met een risicostatement dat uit drie onderdelen bestaat:

Oorzaak & Gebeurtenis & Gevolg

Waarbij de kans grofweg bepaald wordt door de oorzaken en de impacts door de gevolgen.

Deze definitie is toepasbaar op pakweg 80% van de processen en projecten voor de meeste organisaties.

Maar… zo eenvoudig is het niet altijd. Als organisatie heb je eveneens te maken met de risico’s in uw omgeving. De concrete manier om een risico te definiëren is vaak afhankelijk van het domein waarin het risico optreedt.

De ‘Society for Risk Analysis’ gaf met de ‘society for risk analysis glossary’ in 2018 een lijst van onder andere volgende kwalitatieve definities die vaak gebruikt worden:

  • “Risk is the possibility of an unfortunate occurrence.”
  • “Risk is the potential for realization of unwanted, negative consequences of an event.”
  • “Risk is exposure to a proposition (e.g., the occurrence of a loss) of which one is uncertain.”
  • “Risk is the consequences of the activity and associated uncertainties.”
  • “Risk is uncertainty about and severity of the consequences of an activity with respect to something that humans value.”
  • “Risk is the occurrences of some specified consequences of the activity and associated uncertainties.”
  • “Risk is the deviation from a reference value and associated uncertainties.”

Daarnaast kunnen er afwijkingen zijn in de formule. Zo is meer algemeen:

Risico = Kans x ImpactN

Indien N > 1 is men risico-avers. Indien N = 1 is men risico-neutraal. 0 < N < 1 is risico-zoekend.

Meer complex, een voorbeeld

Het is soms nog complexer: de definitie van risico is dan afhankelijk van de stakeholders van dat risico. Een ‘eenvoudig’ voorbeeld vind je terug in de landbouw, die te lijden heeft onder de droogte.

Eens een jaar zeer droog is, is de kans op droogte = ‘1’ en zal het risico zuiver afhangen van de impact van de droogte op de oogst. Die impact bereken je dan door de resultaten te vergelijken met die van een referentiejaar van een normale oogst.

Een maat voor risico voor de oogst van de privétuinier wordt dan:

(Oogst van de teelt in het droge jaar) – (Oogst van de teelt in het referentiejaar).

Een boer zal de zaken anders bekijken: hij gaat de monetaire waarden vergelijken van het droge jaar ten aanzien van het referentiejaar als volgt:

(Financiële opbrengst van de oogst van de teelt in het droge jaar + Subsidie dat droge jaar) –

(Financiële opbrengst van de oogst van de teelt in het referentiejaar + Subsidie dat referentiejaar).

Voor de Verkoper in de winkels echter is het risico te berekenen als een vergelijking van de winst van een teelt in een droog jaar ten aanzien van een normaal jaar als volgt:

(Totale verkoopprijs van de teelt per kg in het droge jaar – Totale inkoopprijs van de teelt per kg in het droge jaar – Verlies aan goederen in het droge jaar) – (Totale verkoopprijs van de teelt per kg in het referentiejaar – Totale inkoopprijs van de teelt per kg in het referentiejaar – Verlies aan goederen in het referentiejaar)

De belastingdienst heeft als risico dezelfde formule als de verkoper in de winkel, na BTW-berekening in beide jaren. Niemand garandeert immers dat het BTW-percentage in de beide jaren hetzelfde zal zijn.

Wiskundige bollebozen zullen nog veel ingewikkelder formules kunnen bedenken. Ik ga het er hier bij houden.

Dit toont aan dat het simpele geval van het kweken van groenten op zich, reeds een andere definitie inhoudt voor het begrip van risico voor verschillende stakeholders. Niet iedereen in de toeleveringsketen is zich hiervan bewust. Deze voorbeelden tonen aan dat het concept ‘risico’ complexer is dan simpelweg ‘een gebeurtenis’. Er moet per scenario grondig over de definitie nagedacht worden.

Afhankelijk van deze definitie van het risico kunnen dan de maatregelen gaan wijzigen. Zo zal de tuinier of de boer wel of niet investeren in water om te sproeien, de boekhouder van de boer zal wel of niet creatief boekhouden, de verkoper beslist om zijn prijzen aan te passen doorheen het seizoen,… Op die manier past dan het risicomanagement zich aan de omgeving aan. En aan het begrip ‘risico’.

Management aandeel

Het management-deel is niets meer of minder dan het wijs aanpakken en afhandelen van die risico’s. Een deel van die wijsheid zit in standaarden vervat. Zo spreekt ISO 31000 over de PDCA-cyclus van Deming, (Plan-Do-Check-Act) die ISO op alles van toepassing maakt. Dat is het management gedeelte waarin ze voorschrijven om de risico’s te identificeren, te analyseren, te evalueren, maatregelen te definiëren, die geïmplementeerd en gemonitord worden, waarna de cyclus hervat wordt. Elke risiconorm die zichzelf respecteert heeft een kwalitatief goed doordachte systematische manier van aanpakken en afhandelen van risico’s.

Die doordachte risicotype-afhankelijke manier van risico-afhandeling is het ‘formele risicomanagement’.

Informeel risicomanagement

Er bestaat daarnaast ‘informeel risicomanagement’. Dat treedt bijvoorbeeld op bij kleine handelaren die geen investering doen in een risico management systeem volgens een norm. Zij passen intuïtief ‘gezond verstand’ maatregelen toe binnen hun zaak. Of ze hebben medewerkers die elkaar uit authentieke bezorgdheid verwittigen voor een valkuil.

Manu Steens

Manu werkt bij de Vlaamse Overheid in risicomanagement en Business Continuity Management. Op deze website deelt hij zijn eigen mening over deze en aanverwante vakgebieden.

Leave a Reply

Your email address will not be published. Required fields are marked *

Recent Posts