In een vorig artikel hebben we toegelicht hoe een risicoanalyse wordt opgezet. In dit artikel leggen we uit hoe uw organisatie hier verder mee aan de slag kan.
Sommige risico's wilt u wellicht bewust opzoeken (bijvoorbeeld beleggingsrisico's), terwijl u andere absoluut wenst te vermijden (zoals reputatierisico's). Bepaalde risico's kunt u echter niet voorspellen of controleren (bijvoorbeeld zeer ingrijpende, grootschalige, ongewenste systeemaanpassingen).
Toch is het verstandig om alle risico's zoveel mogelijk te beheren en waar mogelijk te beheersen. Daarom "scoren" veel organisaties hun risico's. Ze schatten de kans in dat een gebeurtenis zich voordoet, rekening houdend met de impact op de organisatie. Nadien bekijken ze de mate waarin missie, visie en strategische doelstellingen nog gerealiseerd kunnen worden.
Om risico's te beheersen, treffen organisaties beheersmaatregelen. De definitie omschrijft deze als "activiteiten die zich op enige wijze richten op het elimineren, vermijden of verkleinen van de oorzaak of het gevolg van een ongewenste gebeurtenis."
Hoe gaat u om met risico's?
Uw organisatie kan op vier manieren omgaan met risico's:
1. Het risico vermijden
Soms is het eenvoudigweg vermijden van een risico de beste strategie. Het risico op instorting door een aardbeving kan bijvoorbeeld vermeden worden door uw organisatie te vestigen in een gebied waar geen aardbevingen voorkomen.
2. Het risico beheersen of verminderen
Vaak is vermijden geen optie en moeten er maatregelen genomen worden om risico's te verminderen of te beheersen. Dit kan oorzaakgericht of gevolggericht gebeuren.
Oorzaakgericht beheersen zorgt ervoor dat de kans op een ongunstige gebeurtenis verkleint. Denk bijvoorbeeld aan de verbetering van onderhoud aan apparatuur. Goed onderhouden hardware die tijdig vervangen wordt, vermindert het risico op computeruitval en dataverlies.
Indien er zich toch een incident voordoet, zorgen gevolggerichte maatregelen ervoor dat de schade geminimaliseerd wordt. Redundantie inbouwen in uw systeem is een voorbeeld van een gevolggerichte maatregel. Er wordt gezorgd voor reservecapaciteit zodat de voortgang van een project niet in gevaar komt bij een calamiteit. Denk hierbij aan een externe harde schijf die als back-up dient. Het risico op verlies van kritische knowhow verkleint hierdoor.
3. Het risico accepteren
Wanneer de impact beperkt is, of wanneer een risico niet kan vermeden worden, dan kan het risico ook gewoonweg worden aanvaard.
4. Het risico overdragen
Een risico kan worden overgedragen aan een andere partij. Het afsluiten van een verzekering is hiervan een voorbeeld.
Een bedrijfsactiviteit outsourcen is een andere vorm van risico-overdracht. Het risico dat hiermee gepaard gaat, is dat de partij aan wie de dienst wordt geoutsourcet, een slechte dienst levert. Doorgaans wordt er geoutsourcet indien de expertise bij de andere partij groter is dan de expertise binnen de eigen organisatie waardoor dit risico beperkt wordt.
Een risico overdragen leidt niet meteen tot het wegnemen van het risico. Het leidt echter wel tot een risicovermindering doordat een andere partij in staat zal zijn het risico te beheren of te dragen.
Beheersmaatregelen kiezen
Op basis van de risicoanalyse en bovenstaande overwegingen rond te nemen acties worden beheersmaatregelen gekozen. Deze kunnen uiteenlopen van het afsluiten van een verzekering tot het aannemen van extra personeel.
Een risico zonder beheersmaatregelen wordt een bruto risico of een inherent risico genoemd. Door beheersmaatregelen toe te passen, verlaagt het risico. Er kan echter nog een restrisico overblijven ('residual risk').
Beheersmaatregelen kunnen preventief toegepast worden waardoor de kans dat een risico zich voordoet, afneemt. Repressieve beheersmaatregelen daarentegen trachten de schadelijke gevolgen te reduceren.
Beheersmaatregelen bestaan enerzijds uit 'hard controls', zoals afspraken en richtlijnen. Anderzijds zijn er de 'soft controls' die gericht zijn op het functioneren van medewerkers.
We raden aan om op voorhand enkele punten te evalueren op basis van deze checklist:
- Zijn er voldoende middelen/geld om de maatregel te implementeren?
- Is er voldoende mankracht om de maatregel uit te voeren?
- Is er een verantwoordelijke voor de beheersmaatregel aangewezen?
- Is het zinvol om een risico over te dragen? Kan de aangewezen partij het risico ook daadwerkelijk dragen?
- Brengt de maatregel geen nieuwe risico's met zich mee?
Beheersmaatregelen evalueren en actualiseren
Beheersmaatregelen dienen op regelmatige tijdstippen te worden geëvalueerd. Enkele vragen die u hierbij kunnen helpen:
- Werden de maatregelen uitgevoerd en behaalden ze het gewenste effect?
- Wat verhindert de effectiviteit van een maatregel?
- Is er voldoende overleg gepleegd?
- Zijn alle verantwoordelijkheden duidelijk?
Bij de evaluatie controleert u of de beheersingsmaatregel:
- voldoende is vastgelegd (opzet)
- in de praktijk voldoende bekend is en gebruikt wordt (bestaan)
- gedurende een bepaalde periode wordt nageleefd (werking).
Beheersmaatregelen kunnen de kans dat een risico zich voordoet verminderen of kunnen de impact ervan verkleinen. De juiste beheersmaatregelen treffen en evalueren of hiermee de realisatie van de doelstellingen wordt gewaarborgd, is echter een continu proces. Om er zeker van te zijn dat de belangrijkste risico's continu de aandacht hebben, moeten ze systematisch op de agenda verschijnen.
Bent u op zoek naar een vernieuwende kijk op beheersmaatregelen zodat deze een grotere bijdrage leveren aan uw doelstellingen? Of heeft u nood aan meer gespecialiseerde ondersteuning voor uw risicoanalyse? Onze Business Risk Advisers helpen u graag verder.
