Stap 1: Waar ga je de risicoanalyse voor gebruiken ?

We gaan eens stap voor stap door het fenomeen risicoanalyse heen om je er wat meer gevoel te geven. Het begint allemaal met de vraag waar je een risicoanalyse voor nodig hebt en dat is ook wel bepalend voor de manier waarop je invulling gaat geven aan de risicoanalyse. Wil je bijvoorbeeld het weerstandsvermogen voor het komende jaar vaststellen of ben je bezig om het veiligheidsbewustzijn een boost te geven? Gaat het om bedrijfscontinuïteit omdat de raad van bestuur om een BCM plan heeft gevraagd of zijn er incidenten geweest waar jullie van geschrokken zijn? Ga je risico’s in kaart brengen omdat je die verantwoording moet afleggen aan stakeholders? Of is veiligheid een kernwaarde binnen je organisatie en wil je gewoon veiliger kunnen werken?

Het zijn allemaal legitieme redenen om een risicoanalyse uit te voeren en het is goed om erbij stil te staan. Het kan heel erg bepalend zijn voor de manier waarop je de risicoanalyse gaat uitvoeren, met wie en in welke mate.

Stap 2: Een risicoanalyse maak je niet in je eentje.

Het is natuurlijk een beetje afhankelijk van je business of organisatie, maar doorgaans is het van enorme meerwaarde om de stakeholders te betrekken bij de risicoanalyse. Je maakt niet alleen slim gebruik van de collectieve intelligentie binnen jouw branche, omgeving of bedrijf, maar je maakt ze ook deelgenoot. Het betrekken van betrokken stakeholders levert je vaak draagvlak voor risico maatregelen en het bevordert de bewustwording. Oog hebben voor risico’s is immers vaak een kwestie van bewust maken van risico’s. Of het nou om een politieke explosieve situatie gaat in een land waar je overweegt te gaan investeren of dat het om die loshangende trapleuning gaat. Je moet jezelf en je stakeholders dwingen om zich ervan bewust te worden.

En andersom, je stakeholders kunnen jou wijzen op risico’s waar je jezelf nog niet van bewust was. De mensen die je betrekt bij je risicoanalyse vormen jouw ogen en oren. Wees je wel bewust van de kennis en ervaring van de deelnemende stakeholders, want die is best heel bepalend voor het proces en het resultaat. Het maken van een risicoanalyse is tenslotte geen democratisch proces, maar een intellectueel en zakelijk proces. Naast je stakeholders is het verstandig om gretig gebruik te maken van alle informatie die je maar te pakken kunt krijgen. Kennisbanken en incidenten databases zijn dikwijls voorhanden.

In deze tijd van data science en business intelligence is er echter veel meer te doen met data en kun je veel meer data te pakken krijgen. Oodit is in staat om met behulp van algoritmes en text-mining technieken het internet af te speuren en data te verzamelen waar menig klant mee verrast wordt. Vaak gebeurt er meer dan de klanten zich van bewust zijn.


Stap 3: Wat is het risico en hoe hoog is het risico ?

De dooddoener die het vermelden waard blijft is dat risico kans maal effect is. Iedereen weet dat eigenlijk wel, maar hij blijft essentieel omdat in het dagelijks spraakgebruik deze toch vaak door elkaar gehaald worden. Het risico is niet hetzelfde als de kans. Als iemand zegt dat het risico op een tikfout voor de meeste mensen groot is, heeft diegene in de meeste gevallen geen verstand van risicoanalyse. De kans is groot maar het effect van een tikfout wordt doorgaans niet als ernstig of pijnlijk ervaren. Tenzij – ik hoor het jullie al denken – de foutloze tekst van levensbelang is. Als het een code betreft voor de nieuwe software van een nucleair energiecentrale of zo. Maar hoe bepaal je nu de kans en het effect? En hoe vermenigvuldig je die? 

Vaak is het een kwestie van schatten en dat kun je doen met behulp van je stakeholders of de deelnemers aan het proces. Maar soms kun je je baseren op historische gegevens als een scenario relatief vaak voorkomt.

Er zijn ook situaties van ongewenste situaties of ongelukken die bijna nooit voorkomen en waarvan je amper weet hoe vaak het voorkomt en dan is er soms software beschikbaar om daar een realistische berekening van te maken. Je kunt zaken simuleren of heel vaak voor laten komen. Als je risico’s binnen een systeem wilt bepalen dan moet je soms alle deelrisico’s in beschouwing nemen. Zo is de kans op brand vaak een optelsom van de kans dat er vuur ontstaat, de kans op kortsluiting bijvoorbeeld, maal de kans dat de brandmelder kapot is, maal de kans dat de sprinklerinstallatie niet werkt, maal de kans dat de beveiliger niets doorheeft, maal de kans….enzovoort.

In een risicoanalyse moet je soms zover gaan om alles in kaart te brengen, als je zo ver wilt gaan. Want de manier om het risico te bepalen is toch ook maatwerk en veel gezond verstand.


Stap 4: Wat kun je doen om het risico te beperken ?

Bij de risicoanalyse moet je altijd rekening houden met de maatregelen die je al neemt en de maatregelen die je aanvullend zou kunnen nemen. Sommige methodes en situaties zijn geschikt om de situatie te analyseren waarbij je alle maatregelen (ook die er al zijn) wegneemt en het blote of kale risico beoordeelt. In andere situaties is dat tamelijk ondenkbaar en doe je dat niet. Wil je het risico op overstroming in Nederland beoordelen dan is het lastig voorstelbaar dat er geen dijken, sluizen, waterkeringen en pompen zouden zijn. Veel bedrijfskundige processen kun je echter wel kaal beschouwen. Voordeel daarvan is dat je niet blindstaart op wat je altijd al deed, maar ruimte creëert op wat je het beste zou kunnen doen. In alle gevallen bedenk je met de stakeholders of een denktank welke maatregelen je zou moeten nemen om het risico te verkleinen.

Soms maakt men onderscheid tussen kans verlagende maatregelen en effect beperkende maatregelen. Soms gooit men deze op één hoop. Iedere situatie is weer anders en niks is op voorhand fout. Bij die mogelijke maatregelen is het van wezenlijk belang om in te schatten wat voor een effect ze zullen hebben en wat ze kosten. Een voorgestelde maatregel moet natuurlijk wel zoden aan de dijk zetten en al helemaal als het nemen van de maatregel geld en/of moeite kost. Kijk bij dit soort analyses uit met tunnelvisie en blindheid voor wat we altijd al deden. Sommige maatregelen die we al jaren nemen slaan eigenlijk nergens op en soms kom je tot verrassende en innovatieve oplossingen door gewoon eens anders naar het risico te kijken.

Dat bereik je het meest waarschijnlijk door een goeie mix van stakeholders die kritisch zijn, creatief en vanuit verschillende hoeken naar jouw processen of organisatie kijken.

Stap 5 of weer naar 1 : Risicoanalyses houden nooit op

Vaak is een manager blij met een goede risicoanalyse en dan gaat deze voor lange tijd de la in tot er iets fout gaat en dan wordt de analyse er weer eens bij gepakt. Dat is niet zoals het zou moeten. De risicoanalyse moet onderdeel zijn van een risico management systeem waarbij je telkens weer opnieuw gaat kijken naar het risico. Want als je het risico bepaald hebt en de maatregelen hebt bedacht, dan is het zaak om te controleren of de maatregelen wel echt genomen worden, of ze het gewenste effect hebben en of het risico is afgenomen of juist niet. Soms zijn er ook nieuwe omstandigheden waardoor je risico om andere redenen hoger of lager wordt of er ontstaan volledig nieuwe risico’s. Je ontkomt er niet aan – als je risico management serieus neemt – om een zogenaamde PDCA cyclus te blijven volgen. Plan, Do, Check en Act staat voor risicoanalyse, maatregelen nemen, review van de risicoanalyse en bijsturen waar nodig.

Wees ook alert dat de papieren werkelijkheid vaak helemaal niet overeenkomt met de echte wereld. Als de maatregelen op papier genomen zijn, is dat in het echt misschien helemaal niet het geval. Als je kiest voor tooling om je risico management te ondersteunen, dan moet je eens overwegen om niet alleen de analyse en maatregelen aandacht te geven, maar ook een oplossing te bedenken om doorlopend gebruik te maken van je ogen en oren (stakeholders) door bijvoorbeeld een app op de smartphone waarmee de echte wereld gecontroleerd wordt. Je kunt daarbij denken aan foto’s delen van onveilige situaties en risico’s. Als jouw community of organisatie zich heel erg bewust is van de risico’s en veiligheid dan zullen er meer checks and balances zijn om het systeem scherp te houden. Zo’n app kan daar enorm bij helpen. Ook de risico’s zonder specifieke maatregelen moet je van tijd tot tijd opnieuw analyseren.

Hoge risico’s vaker dan lage risico’s maar alle risico’s komen vroeg of laat weer aan de beurt. En het is tenslotte zaak om altijd op zoek te zijn naar nieuwe risico’s en situaties die zich voor kunnen doen waar je niet op zit te wachten. Je komt er dus niet vanaf en maak het dan maar zo gemakkelijk en prettig mogelijk. Met Oodit bijvoorbeeld. 

Leave a Reply

Your email address will not be published. Required fields are marked *