Risico management strikt genomen – Key Risk Indicatoren en risk intelligence

Auteur: Manu Steens

Een belangrijk begrip in strategisch risicomanagement is dat van risk intelligence.

Risk intelligence is een “systematisch proces voor het vergaren en analyseren van informatie over de risico’s van de organisatie haar business, om daarop gebaseerd strategische beslissingen te kunnen nemen om het daarna beter te doen als business in een competitieve omgeving.” Het is dus een mogelijk antwoord op competitive intelligence van mogelijke tegenstanders.

Zoals het hier staat is het dus uitgebreider dan een klassiek risicoanalyse proces met bijhorende acties. Het gaat om àlle relevante informatie.

De organisatie moet dus capabel zijn om gebeurtenissen en uitwendige impulsen voor wijzigingen te voorzien. Verder moet het een proces zijn, omdat risico’s veranderlijk zijn, en strategieën moeten aangepast kunnen worden, en omdat nieuwe risico’s voortdurend ontstaan.

Een van de mogelijke voorspellers zijn indicatoren: KPI en KRI (Key Performance Indicators en Key Risk Indicators). Ik bespreek hier de KRI. (let op: de KRI leveren informatie, de analyse van deze informatie moet dan nog steeds gebeuren door de owners van het risico.)

KRI op basis van outcomes

Key Risk Indicatoren zijn vaak effect indicatoren. Deze meten of de gestelde doelstellingen, de outcomes van de processen, gehaald zijn.

KRI op basis van outcomes, zijn effectindicatoren. Omgekeerd kunnen effectindicatoren beschouwd worden als een sub-klasse van de risico indicatoren. Men spreekt echter best van effectindicatoren tav mensen die avers zijn van risicomanagement als weer eens een topic die het management aanhangt.

Maar hoe bekom je dan effectindicatoren?

Strikt genomen door de outcomes te bepalen van het proces, het project, de doelstelling. Een truk om deze outcomes te bepalen is niet de output van de processen of projecten als laatste stadium te zien van de activiteit, maar het doel van de activiteit. Dit kan men door het proces / project te beschrijven in een of slechts enkele zinnen, en deze beschrijving te laten eindigen met een of meerdere vervolledigingen na het woord “opdat…” of “zodat…”.

Daar stel je criteria tegenover die je dan periodiek in het oog wil houden om te zien of ze overschreden worden, of een tendens vertonen, of een sprong maken e.d.m..

Een voorbeeld kan hier klaarheid scheppen.

Bij het de werking van een BCM manager is er een proces dat bij elke cyclus terug van start gaat. Deze cyclus kan men beschreven vinden in ISO 22301, maar eveneens in de GPG van TheBCI.org.

Een voorbeeld is dan voor crisiscommunicatie “Met eenduidige stem van de organisatie naar de media spreken ten tijde van crisis”. Dit is een doelstelling van het crisismanagement team, omdat het doel tijdens een crisis is dat de informatieoverdracht eenvoudig verifieerbaar is, juist, zo volledig mogelijk enz. en in overeenstemming met de vereisten van het moment. Het ongewenst gevolg dat je loopt is dan dat een aantal mensen onterecht de media te woord heeft gestaan met alle foute informatiestromen die daaruit kunnen volgen. Daarbij kan je dus een meting doen als volgt:

T = “Som van (Het aantal mensen dat (onterecht) de media te woord staat) van de crisissen die maand.”

Je kan dan de meting illustreren met smileys als volgt:

Groene smiley:                0 mensen

Gele smiley:                      gebruik je niet in deze

Rode smiley:                     1 of meer mensen

Grijze smiley:                    er was geen communicatie naar de media nodig wegens geen crisisafhandeling die maand.

KRI op basis van risicoanalyses

Maar er is nog een tweede klasse Key Risk Indicatoren, die zich niet baseren op de gestelde outcomes of doelen, maar die teruggrijpen naar de risicoanalyse van het proces, het project of de doelstelling(en).

Een uitleg van de werkwijze kan het eenvoudigst geïllustreerd worden aan de hand van de Bow-Tie risicoanalyse methode.

Bij de Bow-Tie methode kan men voorspellend te werk gaan door te kijken naar de linkerkant (preventieve kant) van de vlinderdas, waar men stevig heeft doorgeboord tot aan de grondoorzaken van een gewenste of ongewenste gebeurtenis.

Eens men de relevante oorzaken geïnventariseerd heeft, moet men criteria vaststellen waarbij deze oorzaken optreden. Bijvoorbeeld (hypothetisch) ongelukken bij boswachters piekt wanneer 15% van de boswachters minder dan 1 jaar ervaring hebben in de branche en hun begeleiders jonger zijn dan 30. Dan kan men een KRI opstellen voor HRM om na te gaan wat de leeftijd van de begeleiders is en de combinatie van de ervaring van hun gasten. Wanneer men dan bij een nieuwe aanwerving bij deze combinatie boven dit criterium uitkomt, kan men bijvoorbeeld een herorganisatie van peter-petekind doorvoeren.

Zoals men eenvoudig inziet, zijn deze KRI zeker belangrijk vanuit hun voorspellende kracht. Ze zijn voorspellend, waar de KRI op basis van outcomes eerder onder de loupe brengen dat er iets verkeerd gelopen is of er iets verkeerd aan het lopen is.

Dat voorspellende indicatoren het verschil kunnen uitmaken tussen slagen en falen in het beoogde effect, en ze gebaseerd zijn op de resultaten van de volledige risicoanalyse, is een reden om een volledige risicoanalyse te doen volgens het Amerikaans model.

Het belangrijke van de KRI is dat men de bestaande strategieën kan aanpassen en cours de route. Men kan anticiperen.

Manu Steens

Manu werkt bij de Vlaamse Overheid in risicomanagement en Business Continuity Management. Op deze website deelt hij zijn eigen mening over deze en aanverwante vakgebieden.

Leave a Reply

Your email address will not be published. Required fields are marked *

Recent Posts