Risicobepaling met risicotypologie

Written by Manu Steens in Risicomanagement 
Risicobepaling met risicotypologie

Auteur: Manu Steens

In deze bijdrage geef ik mijn eigen mening, niet die van enige organisatie.

De bepaling van de risico’s is een van de belangrijke stappen in Risicomanagement, om te komen tot een risicoregister met bijhorende actieplannen als tussenstap.

Daarbij is, volgens het subsidiariteitsprincipe de laagste in rang die zinvol de risico’s kan bepalen, de aangewezen persoon om de nodige risico’s op te lijsten. Dit geldt zowel voor risico’s op alle niveaus in de organisatie.

Inhoud

De eerste stap

De eerste stap bestaat dus uit het bepalen van de doelgroep van de brainstorm voor de risico’s. Voor operationele risico’s kunnen dit proces- of projectverantwoordelijken zijn, maar tevens nieuwelingen die nog niet veel visie hebben op risico’s. Voor hen is het immers zo dat ze voortdurend in contact komen met onvoorziene zaken, en meewerken aan de risicoanalyse vijzelt hun awareness en alertheid op. Voor tactische en strategische risico’s kunnen dit directieraadsleden zijn. Ook de doelgroep van de risico’s moet bepaald worden. Voor de normale risico’s kunnen dit de leidinggevenden zijn, voor grote risico’s en strategische risico’s moet men rapporteren aan het topmanagement/beheerraad.

Wanneer men de doelgroepen voor het bepalen van de risico’s en de rapportering bepaald heeft, moet men de risico’s zelf gaan inventariseren. Dit kan men doen a.d.h.v. bijv. een risicotypologie. Daarbij bestaan meerdere mogelijkheden. Deze zijn steeds afhankelijk van de organisatie zelf, die dus goed gekend moet zijn door de personen die de gepaste risicotypologie kiezen / ontwerpen. Hieronder geven we een aantal voorbeelden van risicotypologieën (niet exhaustief).

Een eerste mogelijke opdeling is als volgt:

  • Financiële risico’s
  • Wettelijke vereisten
  • Wettelijke compliance
  • Imago
  • Specifiek voor de branche
  • Data integriteit en –betrouwbaarheid
  • Confidentialiteit van de data
  • Beveiliging van de eigen data
  • Disaster recovery en continuïteitsplanning
  • Operationele risico’s

Een tweede mogelijke opdeling is als volgt:

  • Externe risico’s
    • Natuur
    • Politiek / wet en regelgeving
    • Sociaal / maatschappelijk
    • Economie / markt , beurzen , …
  • Interne risico’s
    • Strategie
    • Juridische / financiële gevolgen rechtsvorm
    • Continuïteit
    • Kwaliteit
    • Fraude / Compliance …
    • Materiële risico’s (verlies beschadiging)
    • Veiligheid van mensen / middelen
    • Financiële risico’s
    • Kritische kennis
    • Capaciteit …

Een derde mogelijke opdeling is als volgt:

  • Operationele risico’s:
    • (Willem De Ridder, ‘Risicobeheersing met toegevoegde waarde’): “Het risico van verlies als gevolg van inadequate of falende processen, mensen en systemen of als gevolg van externe gebeurtenissen.”
  • Strategische risico’s:
    • (Lizanne Vroom, ‘Risicomanagement vanuit het Dynamisch Business Model’): “Het gevaar voor (kapitaal-)verlies en/of het voortbestaan van de organisatie als gevolg van veranderingen in de omgeving van de organisatie, het gebrek aan respons of een verkeerde respons op veranderingen in de omgeving van de organisatie, zakelijke nadelige beslissingen of een onjuiste implementatie van de gekozen strategie.”

Hoe risicobepaling te doen met risicotypologie

Een handige manier om met deze risicotypologie te werken is om daarna te brainstormen met een SWOT-methode. Merk wel op dat het maken van deze SWOT wél een onderscheid maakt tussen interne zaken (sterktes en zwaktes) en externe zaken (opportuniteiten en bedreigingen), maar nog geen risicoanalyse is op zich. Het kan gebruikt worden om de risicostatements te formuleren a.d.h.v. elk item in de risicotypologie, ten overstaan van de operationele projecten, –  processen, – doelstellingen of strategische doelstellingen. Dus in feite om aan risico-identificatie te doen. De gebruikte risicotypologie kan daarvan tevens afhangen. Daarnaast is de SWOT-methode met haar confrontatiematrix geschikt om maatregelen te formuleren.

Een brainstormsessie houd je best met een groep van ongeveer 4 personen, o.l.v. een coach. Deze laatste moet de groep steeds uitdagen om de risicostatements deugdelijk te formuleren, en er tevens, volgens het principe van een Bow-Tie, er de oorzaken en gevolgen, oorzaken van oorzaken en gevolgen van gevolgen enz. te formuleren. Daarbij is de 5x ‘waarom’- en de 5x ‘wat dan’ vraagmethode van toepassing. Daarmee formuleren de deelnemers aan de brainstorm dan uiteindelijk de risicostatements in de vorm van ‘De organisatie / het proces / project … heeft probleem / opportuniteit … met als oorza(a)k(en) … en gevolg(en)…’.

Men kan daarbij kiezen om de oorzaken en gevolgen met het probleem uit te splitsen over meerdere risicostatements, of om de oorzaken te groeperen en de gevolgen te groeperen. Deze worden dan aangevochten met respectievelijk preventieve en reactieve maatregelen. De Bow-Tie methode is dan zeer geschikt om aan te geven of alle aangegeven oorzaken en gevolgen aangepakt worden met maatregelen.

Manu Steens

Manu werkt bij de Vlaamse Overheid in risicomanagement en Business Continuity Management. Op deze website deelt hij zijn eigen mening over deze en aanverwante vakgebieden.

Leave a Reply

Your email address will not be published. Required fields are marked *

Recent Posts