Wat zijn de basistaken voor risicomanagement?

Written by Manu Steens in Risicomanagement 

Auteur: Manu Steens

In deze bijdrage schrijf ik mijn eigen mening, niet die van enige organisatie.

Wat is het vraagstuk?

Wanneer je bijv. begint met operationeel en tactisch risicomanagement, is een opleiding altijd handig. Daarnaast is het naast het met de neus in de boeken zitten goed om met de botten het slijk in te gaan en eerste ervaringen op te doen. Om die eerste ervaringen een elementaire bijdrage te laten hebben, moeten ze wel de minimale baseline halen. De basistaken dus. Maar wat zijn die? Hoe pak je het aan?

Inhoud

Hoe pak je dat aan? De basistaken.

Je haalt zowel de basistaken als een heel operationeel risicomanagement systeem uit de beschrijving van ISO31000 of andere normen.

De basistaken bevatten onder andere:

  • Bepalen van de doelen
  • Bepaling van de processen en projecten voor die doelen
  • Bepalen van de risico’s van die processen en projecten, in termen van bedreigingen en opportuniteiten
  • Evalueren en prioriteren van die risico’s
  • Maatregelen bepalen, implementeren en opvolgen.
  • Rapporteren.

Wat staat er te doen? Helikopteruitleg.

Ik licht hier nu deze basistaken toe:

Bepalen van de doelen

De doelen of doelstellingen van de organisatie komen voort uit de missie en visie statements van de organisatie, en zijn uniek voor de organisatie. Deze doelstellingen worden bepaald door de stichters van de organisatie, en kunnen bijgewerkt worden afhankelijk van de interpretatie van de missie en visie in de veranderende omgeving waarin de organisatie presteert. Normaal zijn deze doelen te vinden in de strategische en operationele doelstellingendocumentatie van de organisatie.

Bepaling van de processen en projecten voor die doelen

Deze strategische en operationele doelstellingen worden door de directie van de organisatie vertaald in processen, projecten en diensten en producten. Deze zijn eveneens terug te vinden in de beleidsdocumenten van de organisatie, vaak ook indirect op hun website.

Bepalen van de risico’s van die processen en projecten, in termen van bedreigingen en opportuniteiten

Hier begint de ‘echte’ en originele bijdrage van de risicomanager in samenwerking met de projectleiders, proceseigenaars en dienstverleners.

Ongeacht of het een proces, project of dienst betreft, veel risicoanalyses zijn uitvoerbaar met een bow-tie analyse.

Daartoe wordt een risico uitgeschreven als een risicostatement dat uit drie delen bestaat: een oorzaak, een gebeurtenis en een gevolg. Op basis van dit statement gebeuren dan in volgorde volgende zaken:

  • Bepaal de kans van de oorzaken
  • Bepaal de bijhorende kans op de gebeurtenis
  • Bepaal al de impacts van de gevolgen van de gebeurtenis

Evalueren en prioriteren van die risico’s

Om deze zaken te kunnen inschatten, zijn er natuurlijk vooraf definities te maken van hoe je kijkt naar kansen, naar welke types van impacts je kijkt, en hun magnitudes. Daarnaast definieer je ook een risicomatrix, die gebaseerd is met twee assen: een voor de totale kans en een voor de maximale impact van de gebeurtenis.

Mogelijke definities voor kans kan zijn een percentage, of een frequentie van optreden. Mogelijke types van impacts zijn financiële schade, gezondheidsschade, juridische schade, reputatieschade enz.

Een veelgebruikt type matrix is een 5×5 matrix, waarbij kansen en impacts worden uitgezet. Meestal beperkt men zich bij deze matrix tot een bedreigingenmatrix. Hetzelfde principe is echter mogelijk voor opportuniteiten. Dan zou het een 5×10 matrix kunnen zijn. Deze kan dan ingekleurd worden met kleurcodes waarbij groen betekent dat het goed is, en rood net niet. Bij rood kan men dan een maximumtijd voorstellen waarbinnen een oplossing moet geïmplementeerd zijn. Voor bedreigingen om ze te mitigeren. Bij opportuniteiten om te verzekeren dat ze maximaal optreden.

Een dergelijke 5×10 matrix ziet er dan als volgt uit: (links de opportuniteiten, rechts de bedreigingen, verticaal de waarschijnlijkheid)

Groen betekent zowel voor opportuniteiten als bedreigingen dat je de situatie aanvaardt. Je laat het er bij. Rood betekent dat je de zaken aanpakt: risico’s verminderen of… en opportuniteiten versterken of … Geel en oranje bevinden zich daartussenin. Deze risicomatrix is de implementatie van de formule

R = K x I

Met R = risico, K = de totale waarschijnlijkheid en I de impact.

Het feitelijke evalueren van het risico is het plaatsen van dit risico op deze risicomatrix.

Het prioriteren van de risico’s gebeurt door middel van een risicoregister, waarin men de situatie samenvat en de risico’s met de hoogste R-waarden, dus het hoogste belang, bovenaan plaatst.

Zo’n eenvoudig risicoregister bevat de volgende velden:

  • Proces, project of dienst
  • Oorzaak
  • Gebeurtenis
  • Gevolg
  • Waarschijnlijkheid
  • Impact
  • Risico-waarde (in aflopende waarde)
  • Toevoegingen voor het volgende verloop zijn:
    • Strategie: aanvaarden, delen, mitigeren, verwijderen van het doel
    • Maatregel
    • Eigenaar van de maatregel
    • Deadline
    • Velden voor het restrisico

Maatregelen bepalen, implementeren en opvolgen

Zoals aangegeven bevat het risicoregister een veld voor de vermelding van de maatregel(en).

Daarbij bestaan in eenvoudige termen twee soorten maatregelen: preventieve maatregelen en protectieve maatregelen.

Preventieve maatregelen dienen om een blokkade op te werpen tussen de oorzaak en de bedreigende gebeurtenis. Het vermindert de waarschijnlijkheid of maakt die nul. Voor de opportuniteiten maximaliseert het juist de waarschijnlijkheden.

Protectieve maatregelen dienen om een blokkade op te werpen tussen de bedreigende gebeurtenis en de maximaal mogelijke gevolgen. Het vermindert de impact van de gevolgen of maakt die niet-bestaande. Voor een opportuniteit maximaliseert het de gevolgen juist.

Meestal bestaat het pakket uit zowel preventieve als protectieve maatregelen.

Rapporteren

Rapporteren gebeurt door de eigenaar van het proces of project ten aanzien van de eigenaar van de risico’s. Dat is vaak de CRO die dan de risicorapportering voorlegt ten aanzien van en bespreekt met de CEO en terugkoppelt naar beneden in de hiërarchie.

Daarbij gebruikt men een sjabloon dat minstens volgende onderwerpen bevat:

  • Management samenvatting.
  • Scope van de risicostudie.
  • Mogelijke totaalimpact indien men niets doet.
  • Overzicht van de maatregelen en verantwoordelijken voor implementatie, met geschat budget per verantwoordelijke voor zijn maatregels en een benodigd totaalbudget.
  • Voorstel van aanpak in een tijdschema.
  • Bijlagen:
    • Risicoregister.
    • Budgetten per maatregel.

Wat na de basistaken?

Een grondige uitwerking van ISO 31000 is een van de mogelijkheden. Daartoe verwerk je bovenstaande stappen in een voorgeschreven PDCA-cyclus (Plan-Do-Check-Act). Je doet best daarbij eerst ervaring op met de basisstappen, alvorens je aan het beleidsdocument begint. Die aanpak is nuttig om het beleid direct aangepast te hebben aan de concrete werking in de organisatie.

Manu Steens

Manu werkt bij de Vlaamse Overheid in risicomanagement en Business Continuity Management. Op deze website deelt hij zijn eigen mening over deze en aanverwante vakgebieden.

Leave a Reply

Your email address will not be published. Required fields are marked *

Recent Posts