| De risico aanpak bepalen is belangrijk. Een turbo-uitleg is dan geen luxe, integendeel. Elke organisatie wil immers haar doelstellingen halen. Daarvoor moet het dingen ondernemen. Maar inherent en onverbrekelijk verbonden aan het ondernemen is, dat dit ook risico nemen inhoudt. Belangrijke begrippen zijn risico’s, risico matrices, kans en impact, risico register, risico appetijt en risico capaciteit. | In deze bijdrage geef ik mijn eigen mening, niet die van enige organisatie |
Matrices
Daarbij moet men zich dan ook de vraag stellen hoeveel risico men wil lopen. Daarvoor bestaat in ISO 31000 het begrip risico-appetijt. Men kan dit definiëren als de hoeveelheid risico die een organisatie wil lopen om haar doelstellingen te halen. Dat is mooi in theorie. Maar hoe bepaal je dit dan? Ik onderstel dat risico’s geïdentificeerd kunnen worden. Daarna bestaat vooreerst het begrip “risico-matrix”. Hiervan staat hieronder een gesimplifieerd voorbeeld afgebeeld:
In deze matrix plaatst men dan de verschillende risico’s volgens kans en impact, zie verder.
Men kan dan op basis van de ingevulde matrix beslissen welke risico’s men gaat behandelen/nemen. Naarmate een organisatie meer risico’s aanvaardt met grotere kans en impact, is er een grotere risico-appetijt.
Maar soms is men door omstandigheden verplicht om al de risico’s te challengen. Dan moet men maatregelen nemen om deze risico’s naar de gele en/of groene gebieden te herleiden. Daarvoor bestaat dan het “risicoregister”, zie verder.
Kans en impact.
Voorafgaand aan de oefening van de risico-matrix bepaalde men de risico-statements, waarbij men voor de organisatie de operationele of strategische bedreigingen inschat, met de bijhorende oorzaken en gevolgen.
Om dan de kans en impact van elk statement te bepalen maakt men gebruik van deze oorzaken respectievelijk gevolgen in het achterhoofd. Men bepaalt dan met buikgevoel op basis van gebeurtenissen uit het verleden en de heersende omgevingsfactoren de kans en de impact.
Bij kans kan men redeneren in termen van frequentie: hoe vaak per jaar doet een oorzaak zich voor? Bij impact denkt men vaak aan financiële schade of reputatieschade die de organisatie maximaal zou lopen als de gevolgen zich voordoen. Men kent dan het label Laag, Midden of Hoog toe voor beide parameters, voor elk risicostatement. Men kan dit risicostatement dan visualiseren op de matrix met bijv. een post-it note.
Risico-register
Na de invulling op de risico-matrix moet men prioriteren. Men gaat daarbij de kleuren af van rood naar groen. Indien in een kleur meerdere risico’s vallen, moet men deze binnen de kleur een rangschikking geven. Dit kan men doen naargelang men er een gemotiveerde hoogdringendheid voor ervaart.
Men lijst dan de risico’s op in volgorde en kent maatregelen toe. Bij maatregelen heeft men twee soorten maatregelen: preventieve en reactieve.
Preventieve maatregelen werken naar de oorzaken toe, en helpen voorkomen dat een oorzaak optreedt. Reactieve maatregelen weken naar de gevolgen toe en voorkomen dat een bepaald gevolg zich manifesteert en schade toebrengt.
Men vult deze maatregelen in het risicoregister in, en kent er een trekker en een sponser, een budget en een deadline aan toe.
Daarna gaat het erom de gedefinieerde projecten van de maatregelen uit te werken.
| Risicostatement | Prioriteit | Maatregel | Trekker | Deadline |
Risico-appetijt en risico-capaciteit
Risico appetijt is een grens waar het totale restrisico van bijvoorbeeld een project onder moet blijven. Deze risico-appetijt wordt per project bepaaald door het top management en de som van alle risico-appetijten van alle projecten en processen en diensten van de organisatie samen moet onder de risico-capaciteit van de organisatie blijven.
De risico-capaciteit is intuïtief te vatten als dat risico waarbij de organisatie in de problemen komt als het “worst case scenario” een feit wordt. Ook dit begrip moet het top management inschalen.
De risico-capaciteit definiëren houdt in dat men vooruit kijkt en reserves aanlegt voor als de dingen fout gaan. Dat kan bijvoorbeeld met een captive.