Strategisch, Tactisch en Operationeel Risicobeheer

strategisch, tactisch en operationeel risicomanagement
Wat is het onderscheid tussen strategisch, tactisch en operationeel risicobeheer? Daarvoor moet je het onderscheid maken tussen strategische, tactische en operationele risico’s. Maar ook de raakpunten kennen. Meer nog moet je aan kunnen voelen waar het ene in het andere overgaat. Want in het risicobeheer zijn grijze zones, waar dingen soms niet duidelijk zijn. Waar risico’s eigenschappen kunnen vertonen van meerdere niveaus. Of van het ene niveau in het andere overgaan.In deze bijdrage geef ik mijn eigen mening, niet die van enige organisatie
Auteur: Manu Steens

Wat is de vraag?

Een vriend vroeg me ‘Kun je me helpen? Ik wil weten wanneer een risico strategisch is of niet.

Ik legde uit dat strategische risico’s afhankelijk zijn van strategische beslissingen. Mutatis mutandis voor tactische risico’s en tactische beslissingen, en operationele risico’s en operationele beslissingen.

Maar dat verlegde het probleem naar beslissingen.

Een structurelere uitleg is nodig.

Persoonlijk vertrek ik liefst van de strategische, tactische en operationele beslissingen.

De reden daartoe is eenvoudig: op die manier kan ik de begrippen van strategisch, tactisch en operationeel risicobeheer eerst ver uit elkaar trekken, zodat ik daarna de grijze zones ertussen kan opvullen.

Operationeel beheer en operationele risico’s.

Operationeel beheer is waar men operationele beslissingen neemt. Dit heeft alles te maken met het genereren van dagelijkse of periodieke meerwaarde en de directe ondersteuning daaraan zoals leveringen en opslag van grondstoffen. Het is een beslissing binnen bijvoorbeeld een goed gekend productieproces. Deze processen zijn gekend en zijn routine.

Strictu sensu kan men dit identificeren met het beheer van alles wat output genereert. Dus bijvoorbeeld de productie van medicatie, auto’s, radio’s, grondstoffen, de afhandeling van dossiers, de uitvoerende taken van consultants, het geven van opleidingen…

Het risico-universum kan dus afhankelijk zijn van proces dat men onderwerpt aan een risicoanalyse. Die zijn organisatie-specifiek.

De risico’s die aan deze taken verbonden zijn, zijn operationele risico’s. Voorbeelden zijn een arbeidsongeval op de werkvloer, een mislukte batch van computerchips, een mislukte batch van halffabricaten, een chemisch lek van een container, een defecte server of een vrachtwagen die in panne staat, een toezichter in ziekteverlof…

Tactisch beheer en tactische risico’s.

Tactisch beheer is waar men tactische beslissingen neemt. Het gaat om het blijven funcioneren van de organisatie en haar operationele processen. Dit heeft alles te maken met organisatie brede processen. Het gaat om processen die dus van invloed zijn op de hele organisatie. Voorbeelden zijn aankoop, human resources aanwervingen, financiën met de uitbetaling van de facturen, het uitbetalen van de lonen. Deze processen zijn gekend en zijn routine. Het is het ondersteunen van de operationele processen. Het risico-universum is afhankelijk van de aanwezige processen. In veel bedrijven gaat het hier om een vergelijkbaar risico-universum, behoudens eventuele specifieke tactische processen.

De risico’s kunnen dus divers zijn, zoals een software bug in een softwarepakket van magazijnbeheer die fouten geeft in rapportage naar het management, een berekeningsfout in de lonen, niet tijdig betalen van de lonen, een weigering van een betaling door de bank waarmee men werkt, slechte punten op een auditrapport,…

Strategisch beheer en strategische risico’s.

Strategisch beheer is waar men strategische beslissingen neemt. Het gaat om ‘Wat brengt de toekomst ons, wat gaan we doen?’ Dit is anders omdat het beslissingen zijn waar men enerzijds geen voorgeschiedenis van heeft, anderzijds kijkt men hierbij best ver vooruit. Er is geen voorgeschiedenis bij elke beslissing, omdat elke situatie waarin men moet beslissen totaal nieuw is.

De beslissingen die men neemt hebben alles te maken met het wel of niet kiezen voor bijvoorbeeld nieuwe manieren om meerwaarde te creëren. Vaak gaat dit gepaard met kiezen van opties en het zien van opportuniteiten, het beslissen in welke opportuniteiten men wil investeren, en hoeveel, en het alloceren van mensen en hen middelen toewijzen. Die medewerkers starten daarmee een project op om een nieuwe bron van meerwaarde te ontginnen.

Daaraan zijn de strategische risico’s verbonden. Risico’s die men vaak niet goed kan inschatten met waarschijnlijkheid en ernst. En risico’s die men hoofdzakelijk moet zoeken ‘outside in’.

Het heeft dus minder zin om de risico-universum te bepalen aan de hand van die van de tactische processen en de bijhorende kennis en vaardigheden, noch van de operationele processen. Het risico-universum moet zich vooral focussen op de buitenwereld. Dat kan aan de hand van het letterwoord ‘STEEPLD’ die staat voor ‘Societal’, ‘Technical’, ‘Economic’, ‘Environmental’, ‘Political’, ‘Legal’ en ‘Demographic’. De truc hier is dus een goede kijk te hebben op de buitenwereld van de eigen organisatie, door die zeven brillen.

Andere methoden zijn om toekomstscenario’s uit te werken, te kijken naar Gray Rhino’s op de horizon en te kijken naar wat de overheden identificeren aan nationale risico’s.

De overgangen tussen strategisch, tactisch en operationeel risicobeheer

Dit neemt niet weg dat dergelijke strategische projecten ook operationele of tactische risico’s kunnen hebben die tot strategische risico’s kunnen doorgroeien. En daarmee treedt de eerste vervaging op. Want in het bovenstaande trok ik alles te sterk uit elkaar. Dat deed ik om duidelijkheid te scheppen, maar dat was niet zomaar 100% correct. De wereld van risicobeheer is ‘flou’. En dus zijn er grijze zones tussen strategisch, tactisch en operationeel risicobeheer.

En daar heeft bijvoorbeeld reputatie veel mee te maken. Zo kan geeft elke organisatie zichzelf de opdracht van te blijven bestaan. Een goede reputatie helpt daarbij, maar een slechte reputatie niet. Dat kan erg nefast zijn als door een slechte reputatie de klanten beslissen een andere leverancier te nemen. Zo’n oorzaak kan niet-maatschappelijk verantwoord ondernemen zijn. Maar ook fraude kan nefast zijn. Of cognitieve dissonantie.

Het is immers het belangrijkst, dat je een goede reputatie hebt. Stel een goede reputatie, een gevulde opdrachtenportefeuille maar weinig cash. Dan vind je wellicht een aantal geldschieters. Maar als je door een slechte reputatie je klanten massaal verliest, maak je kans op een faillissement.

Dat zijn voorbeelden van interne, operationele of tactische, risico’s, die strategisch worden. Dit omdat de eerste opdracht van de organisatie in het gedrang komt, namelijk overleven op lange termijn.

Een typisch proces dat in de grijze zone zit is de ICT-ondersteuning van het bedrijf. Als het diensten levert zoals back-up, is dit ondersteunend aan heel het bedrijf. Op dat moment kan men het zien als tactisch. Wanneer echter een medewerker van helpdesk een probleem oplost voor een gebruiker kan men dit zien als een operationeel proces. Men moet dus soms gewoon een keuze maken hoe de organisatie dit bestempelt.

Omgekeerd komt ook voor.

Soms worden strategische risico’s na verloop van tijd tactische of operationele risico’s. Dit treedt op wanneer een strategisch project opgestart wordt om een nieuwe directe of indirecte meerwaarde te genereren. Met directe meerwaarden bedoel ik hier de opbrengsten van een toekomstig productieproces. Met een indirecte meerwaarde bedoel ik bijvoorbeeld kostenbesparingen, door een veelgebruikt ondersteunend proces te insourcen.

Wanneer de beslissing genomen wordt, is deze strategisch. Het project dat het proces implementeert, is een strategisch project, en zal dus strategische risico’s hebben. Het project zet een proces in gang, dat dan eerst strategische risico’s erft van haar project. Na enige tijd is het proces echter ‘verworven’ en bouwt zich een historiek op van de risico’s via de problemen die men herhaald tegenkomt. Doordat er ervaring wordt opgedaan, kan men de problemen voorkomen, en worden de strategische risico’s herleid tot operationele of tactische risico’s.

Conclusie

Hoewel je een mooie definitie kan brouwen rond strategie, strategische risico’s en -maatregelen, zijn er grijze zones met het tactische en operationele niveau. Een belangrijke truc is je daar niet aan te storen, maar het hoe en waarom te herkennen. Indien nodig deel je een proces ergens manu militare in. Maar beschouw reputatie altijd als strategisch.

Zie ook andere bijdragen over strategie en strategische risico’s en -maatregelen:

Strategisch Risicomanagement: de vos en de egel

Wanneer zijn strategische maatregelen maatschappelijk ‘goed’?

Oorlog en strategisch risicomanagement

Manu Steens

Manu werkt bij de Vlaamse Overheid in risicomanagement en Business Continuity Management. Op deze website deelt hij zijn eigen mening over deze en aanverwante vakgebieden.

Leave a Reply

Your email address will not be published. Required fields are marked *

Recent Posts