Aan de slag met risicomanagement

Hoe kun je zelf en als organisatie risico’s inzien en beheersen? Risk Manager en docenttrainer bij ICM Paul Klukhuhn geeft in dit artikel zijn kijk op de basis voor succesvolle implementatie van risicomanagement.

Tijdens mijn dagelijkse werkzaamheden als risk manager bij diverse grote organisaties en als docent bij ICM krijg ik regelmatig de vraag: “Hoe implementeer je risicomanagement nu eigenlijk in een organisatie?”. Om deze vraag goed te kunnen beantwoorden, reageer ik meestal met de wedervraag: “Wat is een risico?”.

Een succesfactor voor de implementatie van risicomanagement is dat iedereen dezelfde taal spreekt en dus dezelfde definitie van risico’s toepast. Hoe kan je anders risico’s beheersen als de één vindt dat het geen risico is en de ander wel? In teveel risicosessies waarbij risico’s worden besproken en geanalyseerd, is het soms een Poolse landdag als het begrip risico niet bekend is. Daarom gaat dit artikel over het begrip: wat is een risico?

Definitie

Vanuit een historisch perspectief worden volgens Covello en Mumpower (1985) risico’s al structureel beoordeeld vanaf 3.200 jaar voor Christus. Deze oeroude basiselementen van risico’s zijn nog steeds terug te vinden in de hedendaagse toepassing van risicomanagement. Onder anderen spreken Covello en Mumpower dan over oorzaak, gebeurtenis en gevolg. Deze elementen zien we terugkomen in de volgende definitie van een risico:

Een risico is een kans op het optreden van een ongewenste gebeurtenis (door een oorzaak) met een gevolg (is dus negatief) voor betrokkene en heeft invloed op het behalen van de doelstellingen.

Om deze definitie te begrijpen moeten we het verder uiteenrafelen door toelichtingen te geven op elk onderdeel van deze definitie. Er schuilt namelijk een hele wereld achter.

Ongewenste gebeurtenis: oorzaak en gevolg

Risico kan gezien worden als een proces waarbij de elementen oorzaak, gebeurtenis en gevolg met elkaar in relatie staan. Ik verduidelijk deze relatie meestal als volgt: stel je woont in een huis, je kijkt om je heen en je ziet vlak bij je huis een oude boom staan met grote zware takken. Je wilt niet dat één van die takken op je huis valt, want je doel is veilig wonen. Dus de ongewenste gebeurtenis is in dit geval het vallen van de tak op het huis. De oorzaken kunnen verschillend zijn: harde wind, onweer met bliksem, etc. Als we één van die oorzaken nemen, bijvoorbeeld de bliksem, hebben we het risico geïnventariseerd. De bliksem kan namelijk de boom treffen (oorzaak), takken vallen op het huis (ongewenste gebeurtenis) en de mogelijke schade aan het dak (gevolg).

Maar we zijn er dan nog niet helemaal. Want hoe groot is de schade? Groot? Klein? Misschien kan je schade financieel inschatten, of misschien is er ook wel de mogelijkheid tot het inschatten van eventueel letselschade. Kortom, je bent bezig met de impact van een risico. Maar we missen hier een belangrijk element: de kans van het optreden van de oorzaak.

Kans

Een risico wordt ook gekenmerkt door onzekerheid en de mate van waarschijnlijkheid. Eigenlijk beter gezegd: de kans. Hoe groot is bijvoorbeeld de kans dat een meteoriet op je hoofd terecht komt? Klein denk ik, misschien zelfs verwaarloosbaar. De kans dat je in Nederland ooit in een regenbui terecht komt, is die 100 procent? Niet altijd leidt elke onzekerheid overigens tot een risico. Indien de onzekerheid geen schadelijke of ongewenste gevolgen heeft, is er geen sprake van risico. De berekening van de kans is soms subjectief als er niet veel informatie over het risico is.

Doelstelling voor betrokkenen

Het laatste onderdeel van de definitie is de doelstelling voor betrokkenen. Moderne definities van risico hebben het over risico en de relatie met de doelstelling van een organisatie. Vertaald naar het voorbeeld van het huis betekent dit dat het doel voor betrokkenen veilig wonen is. Dus zou ik graag de risico’s willen zien die dat doel in de weg staan. Dit is een belangrijk uitgangspunt voor een risico. Als het regent kan het voor gewone Pietje immers een risico zijn, maar voor boer Jantje misschien niet. Voor Jantje vormt droogte misschien juist een risico. Zo geldt het ook voor organisaties. Wat voor de één geldt als risico in relatie met een doel hoeft voor de ander juist geen risico te zijn. Dus je moet wel eerst weten wat de doelstellingen zijn van een organisatie, afdeling en/of project, voordat je een risico kan bepalen.

De succesfactor

Zoals al eerder gezegd is één van de succesfactoren van risicomanagement de toepassing van de juiste definities. Er zijn vele definities van risico’s in omloop, maar mijn keuze voor de definitie van een risico is gebaseerd op literatuur en de praktische toepassing hiervan. Wat nog belangrijker is: ben je met de gekozen definitie in staat, als gehele organisatie, om de risico’s te zien en te beheersen? Dat bepaalt mede het succes van de implementatie van risicomanagement.