Risicobeheer
In het onderstaande artikel wordt Risicobeheer vanuit verschillende perspectieven behandeld, met als doel een alomvattend beeld van dit onderwerp te geven. Vanaf de oorsprong en geschiedenis, via de relevantie ervan vandaag, tot mogelijke toekomstige implicaties, wil dit artikel een compleet overzicht bieden van Risicobeheer. De verschillende facetten ervan zullen worden geanalyseerd, de verschillende interpretaties ervan zullen worden onderzocht en de controverses eromheen zullen worden besproken. Daarnaast zullen de implicaties die Risicobeheer heeft in verschillende contexten worden onderzocht en zullen reflecties en meningen van experts in het veld worden gepresenteerd. Zonder enige twijfel zal dit artikel proberen licht te werpen op Risicobeheer en de impact ervan op de samenleving.
Risicobeheer of risicomanagement is een continu proces dat ten aanzien van de doelstelling risico's identificeert, beoordeelt en vervolgstappen definieert. Er zijn verschillende gebieden waarop risicomanagement toegepast kan worden; financieel risicomanagement richt zich op het beheersen van financiële risico's, projectrisicomanagement richt zich op het beheersen van risico's in het realiseren van grote projecten.
Belangrijk is in hoeverre er sprake is van een meetbaar risico of een onmeetbare onzekerheid, meer specifiek Knightiaanse onzekerheid.
Risicomanagement in zes stappen
Het proces van risicomanagement bestaat in veel modellen uit zes stappen: doelstelling vaststellen, risico's identificeren, gevolgen inschatten, risico's beoordelen, risico's beheersen en monitoring.
Doelstelling
De doelstelling is datgene wat een organisatie wil bereiken, bijvoorbeeld het realiseren van omzetgroei, continuïteit, of het afronden van een project binnen een bepaalde begroting of termijn. Het vaststellen van de doelstelling kan geschieden door gebruik te maken van de regels van het SMART-principe. Sinds de Kredietcrisis is de aandacht voor risk appetite, de mate waarin organisaties risico's willen nemen om hun doelstellingen te bereiken, toegenomen. Om risicobeheer te integreren in de bedrijfsvoering zullen organisaties hun risk appetite in samenhang met hun doelstellingen moeten bepalen, communiceren en monitoren.[1]
Risico's identificeren
Een risico is een onzekere gebeurtenis met mogelijke gevolgen voor de doelstelling. De gebeurtenis doet zich voor door interne en/of externe oorzaken. De interne oorzaken hebben invloed op de activiteiten, welke samen met de externe oorzaken het doel (de doelstelling) beïnvloeden. De beïnvloeding heeft vervolgens weer gevolgen, welke mogelijk nieuwe risico's vormen. Een risico kan in de termen van het risicomanagement zowel positief als negatief zijn. Een negatief risico wordt ook een gevaar, bedreiging, downside risk of statisch risico genoemd. Een positief risico wordt ook een kans of upside risk genoemd. Een dynamisch risico is een risico dat zowel positief als negatief kan zijn of worden.
Voor risico-identificatie (ook risicoanalyse of event ivent identification) kan onder meer geschieden met behulp van de volgende modellen: SWOT, RISMAN, DESTEP/PESTEL, Vijfkrachtenmodel, PIOFACH en een combinatie van het vijfkrachtenmodel en het DESTEP-model.
Inschatten
Vervolgens worden risico's ingeschat op kans van optreden en op mogelijke gevolgen. Dit kan gekwantificeerd worden, maar ook kwalitatieve inschattingen van risico's kunnen nuttig zijn. De beoordeling en classificatie van risico's gaat volgens de Kinney-methode of de verwachte waarde methode.
- Verwachte waarde = kans x gevolg
- Kinney-methode = kans x gevolg x blootstelling
De kans van voorkomen wordt vastgesteld als een percentage. Als bekend is dat een gebeurtenis gemiddeld eens in de 100 jaar voorkomt, dan mag de kans dat deze in een gegeven tijdspanne van een jaar zal voorkomen als 1% genoteerd worden.
Beoordelen
Er wordt een risicoacceptatiegraad vastgesteld, dit is het risico dat bijvoorbeeld een bedrijf hooguit wil nemen om de doelstelling te behalen. Uit de risicoacceptatiegraad is af te leiden of het risico wordt opgezocht (risicozoekend) of ontweken (risicoavers). Twee factoren die meespelen bij het bepalen van de risico acceptatiegraad zijn de gevolgen en de waarschijnlijkheid. De beoordeling van risico's kan visueel worden weergegeven in een risicomatrix of riskmap en/of een Likelihood-diagram.
Beheersen
Twee elementen die centraal staan in het beheersen van risico's zijn de maatregelen en de reacties. Een risico zonder beheersmaatregelen wordt een bruto of inherent risico genoemd. Een risico waarop beheersmaatregelen worden genomen worden vervolgens kleiner ingeschat, en kunnen restrisico's (residual risk) genoemd worden. Beheersmaatregelen zijn preventief, waarbij beoogd wordt de kans van voorkomen af te nemen, of repressief, waarbij beoogd wordt de gevolgen te reduceren. Er zijn twee soorten beheersmaatregelen, te weten: hard controls (afspraken en richtlijnen) en soft controls (gericht op het functioneren van medewerkers).
Er zijn vier soorten reacties: vermijden (of voorkomen, terminate), reduceren (of verminderen, treat), overdragen (of uitbesteden, transfer) en accepteren (take). Risico's kunnen worden vermeden door drastische maatregelen, bijvoorbeeld bij brandgevaar al het houten meubilair te vervangen door staal. Het beheersen kan bijvoorbeeld door het meubilair brandwerend te maken en overdragen door een brandverzekering af te sluiten.
Monitoring
Monitoring gebeurt in de loop van het proces, en kunnen middels indicatoren gemonitord worden (Key Risk Indicator en Key Control Indicator) samen ook wel de Early Warning Indicators genoemd.
Binnen het vakgebied van risicobeheersing wordt onderscheid gemaakt tussen de volgende typen:
- Operationele risico's. Dit zijn gevolgen die kunnen optreden bij het uitvoeren van het werk waar de organisatie voor in het leven is geroepen. Een voorbeeld is een koersfluctuatie waardoor de inkomsten van een multinational anders uitpakken na omwisseling van de valuta.
- Financiële risico's. Dit is het risico dat de financiële verslaglegging van de organisatie afwijkt van de werkelijkheid. Een voorbeeld is de waarde van de inventaris die afwijkt van wat daadwerkelijk in de inventaris zit door verkeerde tellingen of door onvoorzien verlies vanwege schade of diefstal.
Onderzoek
Karel de Bakker heeft onderzoek gedaan naar de effectiviteit van risicomanagement. Het resultaat was dat vooral de initiële risicosessie bijdroeg aan risicobewustzijn en aan het beheersen van risico's. Lijstjes bijhouden en rapporteren doen dat niet.[2]
Risicobeheer binnen ITIL
Binnen het referentiekader van ITIL wordt risicobeheer in ITIL 4 beschreven als een van de 34 beste praktijkoplossingen binnen het servicewaardesysteem. Er wordt benadrukt dat risico's niet alleen verband houden met bedreigingen, maar ook met kansen. Richtlijnen voor risicobeheer zijn gegeven in ISO-standaard 31000: 2018.[3] In voorloper ITIL V3 wordt risicobeheersing weliswaar kort aangestipt als aspect binnen het verandermanagement, maar komt het als aparte functie niet voor.[4]
Zie ook
Externe links
- ↑ (en) COSO (2012). Enterprise Risk Management - Understanding and Communicating Risk Appetite.
- ↑ (en) Bakker, K. de (2011): Dialogue on Risk. Effects of Project Risk Management on Project Success, University of Groningen
- ↑ Jan van Bon (februari 2020). ITIL 4 Pocketguide. Van Haren Publishing, pp. 75, 122. ISBN 9789401806282.
- ↑ Pierre Bernard, René Visser (juli 2016). IT-servicemanagement op basis van ITIL - 2011 editie. Van Haren Publishing, pp. 197. ISBN 9789087538019.