• Noodzaak
• Cyclus
• Raamwerk
• Incident Management en Rapportage
• Indicatoren
• Besturing
• Zelfbeoordeling
• Rapportage
• Actieplan

• Home
• Profiel
• Curriculum Vitae
• Algemene voorwaarden

Risicomanagementcyclus

Risico’s manifesteren zich op velerlei gebied; te denken valt aan materiële, vermogens-, en persoonlijke risico’s. Ook op financieel gebied zijn risico’s reëel. Hierbij valt te denken aan het welbekende debiteurenrisico of het risico dat geen financiering kan worden verkregen.

Manieren om risico’s te beoordelen kunnen divers zijn. Risico’s in de processen kunnen bijvoorbeeld zelf worden bepaald, al dan niet met behulp van externe expert. Bij andere risico’s is het vaak zinvol de risicobeoordeling uit te laten voeren door een expert in samenwerking met de verantwoordelijke manager.

Een optimale manier om risico’s goed, dat wil zeggen passend bij de aard en omvang van de organisatie en even zo passend bij de cultuur, te beheersen is om dit als een cyclus op te zetten.

De cyclus start met

1. het identificeren en evalueren van de belangrijke risico’s;
2. vervolgens te besluiten wat gedaan moet worden om te grote risico’s op een acceptabel niveau te krijgen;
3. de besluiten uit stap 2 uit te voeren en;
4. om deze cyclus periodiek te herhalen.

In deze notitie wordt verder ingegaan op de genoemde stappen in de risicomanagementcyclus.
Goed risicomanagement hoeft niet ingewikkeld te zijn: het is belangrijk aan te sluiten bij de belevingswereld van de medewerkers en hen zo veel als noodzakelijk en mogelijk is hierbij te betrekken. Het is immers beter niet gewenste risico’s te voorkomen, dan achteraf de schade op te ruimen.

Praktisch (Risico) Management B.V. heeft voor u al vele documenten en richtlijnen op het gebied van risicomanagement omgezet in praktische hulpmiddelen, zoals checklists, vragenlijsten, beleidsdocumenten en dergelijke. Natuurlijk wordt daarbij gebruik gemaakt van al binnen de organisatie aanwezige beleidsplannen, procedures, etc.

Risico-identificatie en evaluatie

Hierbij is aan te bevelen om een onderscheid te maken tussen operationele risico’s (risico’s tijdens de diverse bedrijfsprocessen) en niet-operationele risico’s.
De direct betrokkenen bij die processen kunnen de operationele risico’s zeer zinvol bepalen en beoordelen. Dit noemt men risico-zelfbeoordeling. Bij deze risico-zelfbeoordeling moeten deze mensen dan wel worden geholpen door een interne of externe facilitator om dit snel en goed te laten verlopen.

Om de kwaliteit en de voortgang te kunnen waarborgen zal die facilitator gebruik maken van aanwezige procesbeschrijvingen of deze zelf in een concept opstellen, voorzien van een gestructureerde manier om risico’s te benoemen (het zogenaamde Risico Raamwerk, zie hieronder) en om eventueel beheersmaatregelen te benoemen.

Er zijn verschillende manieren om risico-zelfbeoordeling uit te voeren, bijvoorbeeld door middel van workshops met direct betrokkenen of interviews met (een aantal van) hen of een combinatie van methoden. De manier waarop deze beoordeling wordt uitgevoerd moet passen bij het bedrijf en haar medewerkers.

Bij volledige risico-zelfbeoordeling worden alle relevante onderdelen of afdelingen van de organisatie verondersteld hun eigen risico’s te identificeren, evalueren, meten, managen en over het voorgaande te kunnen rapporteren.

Voor de niet-operationele risico’s (bijvoorbeeld financiële risico’s of risico’s op het gebied van automatisering) is het beter om deze te laten identificeren en beoordelen door de verantwoordelijke manager in samenspraak met een deskundige. Ook dit kan snel en goed gebeuren door weer gebruik te maken van gestructureerde modellen. Hierbij kan het zinvol zijn de eigen prestaties te vergelijken met concurrenten of andere organisaties.

Risico raamwerk

Om risico’s goed en eenduidig binnen de organisatie te kunnen benoemen en er zo met elkaar over te kunnen praten is het zeer zinvol om definities en beschrijvingen van risico’s te maken.
Deze risico’s kunnen worden onderverdeeld naar oorzaak (waardoor kan het risico ontstaan?) of naar gebeurtenis (wat gebeurt er?) . De eerste manier vergt een zekere mate van abstract kunnen denken, maar is in het verdere risicomanagementproces wel zeer belangrijk. De tweede manier is voor de gemiddelde medewerker de manier waarop hij / zij risico’s benoemt en staat dus dicht bij de belevingswereld van die persoon. De facilitator moet daarna de aldus benoemde risico’s wel vertalen naar het risico categorisering raamwerk op oorzaak.

Het onderverdelen van risico’s naar oorzaak is zo belangrijk, omdat van daaruit onmiddellijk de goede beheersmaatregelen (wat kunnen wij doen om de risico’s te voorkomen of hoe kunnen wij achteraf de schade beperken?) kunnen worden bepaald. Ook het vastleggen van Incidenten met hun bijhorende oorzaak kan zo eenduidig en op dezelfde manier plaatsvinden.

Hoe om te gaan met risico’s

Het is vaak helemaal niet nodig en daarnaast onbetaalbaar om alle risico’s te voorkomen of uit te sluiten. Het is de kunst om af te wegen of het economisch zinvol is om een risico te voorkomen. In feite zijn er vijf mogelijke manieren om met risico’s om te gaan :

Accepteren

Er wordt geen preventieve actie ondernomen. Het blijft natuurlijk wel zinvol om de ontwikkeling van dit risico te volgen.

Beheersen

Beheersmaatregelen beïnvloeden de gevolgen van het optreden van een risico of de frequentie waarmee risico’s zich voordoen. Beheersmaatregelen moeten worden bedacht, opgeschreven, in de praktijk worden toegepast en gedocumenteerd. Het is zeer zinvol met name de praktische uitvoering van tijd tot tijd te (laten) toetsen. Ook hierbij kan Praktisch (Risico) Management B.V. u behulpzaam zijn.

Overdragen

Sommige risico’s kunnen heel goed geheel of gedeeltelijk worden overgedragen d.m.v. van bijvoorbeeld verzekeringen of het inhuren van een automatiseringsbedrijf voor het beheer van uw computers. Belangrijk is om in acht te nemen dat door dit overdragen nieuwe risico’s kunnen ontstaan, zoals een verzekeraar die vanwege faillissement niet in staat is uw claim uit te betalen.

Vermijden

In dit geval besluit u om de activiteit in kwestie te staken. Dit is de meest drastische maatregel en moet zodoende goed, ook in de bedrijfseconomische context, worden bekeken.

Combinatie van beheersen en overdragen

Soms kunnen risico’s pas worden overgedragen nadat men zelf het risico in voldoende mate heeft beheerst. Een verzekeraar zal bijvoorbeeld veelal eisen dat er voldoende orde en netheid in het bedrijf heerst en dat er voldoende blusmiddelen zijn (en / of zelfs brand- en rookmelders).

Acties

Wanneer het bedrijf besluit dat een risico ‘onacceptabel’ is dan moeten er SMART (specifiek, meetbaar, actueel, realistisch en tijdgebonden) acties worden benoemd. Oftewel: wie doet wat en wanneer is het klaar?

De praktijk leert dat uitvoering van acties meestal moeizaam gaat: immers dit werk moet gedaan worden naast al het andere werk. Indien de uitvoering van de acties niet consequent wordt bewaakt zal veelal blijken dat er niet zo veel van terecht komt.
De gedane investeringen, namelijk het identificeren en evalueren van risico’s en het benoemen van acties, blijven dan in belangrijke mate zinloos. Eigenlijk is het dan weggegooid geld.

Het is verder belangrijk om een met enige regelmaat een standaard risicorapportage op te stellen, waarin beknopt de uitkomsten van alle voorgaande paragrafen gestructureerd zijn vastgelegd en deze rapportage te bespreken in de directie of het managementteam. Zo blijft het risicomanagementproces levend en kan dit het hoogste rendement geven.