De juiste investeringen in risico management

Managers staan dagelijks voor allerlei keuzes: welke investering geeft mij nu het beste rendement? Waar zet ik mijn schaarse middelen het best in? Diezelfde vragen gelden ook voor investeringen op het gebied van risico management. Daar gaat het niet alleen over (behoud van) rendement, maar kan het ook gaan over verlagen van een kans op mogelijk verlies. En ook bij investeringen in risico management kan een onderscheid gemaakt worden tussen het 'laaghangend fruit' en de diepte investeringen. Dit artikel probeert dit keuze proces te verduidelijken en te ondersteunen.

Door Rob van Erp en Wim Pauw

Bij investeringen in risico beheersing gaat het erom om de juiste keuzes te maken. Hoe maak je deze juiste keuzes op een goed onderbouwde manier?

Ik ken mijn risico’s en weet de kans en impact ervan. Dan ben ik toch klaar?
Voor dit verhaal gaan we er gemakshalve van uit dat u de basis van risico management beheerst; uw organisatie heeft op de juiste niveaus in de organisatie een Risico Assessment gedaan, deze gekoppeld aan de juiste doelstellingen en in samenwerking met en ondersteund door de juiste personen. U kent de belangrijkste strategische risico’s, uw tactische of operationele risico’s en uw project risico’s zijn ook in beeld.

U heeft zelfs een goed inzicht in de kans en impact van deze risico’s; uw organisatie heeft een inschatting kunnen maken van de waarschijnlijkheid van het optreden van de belangrijkste risico’s én de schade voor de doelstellingen of het slagen van het project indien het zich voordoet. Wellicht heeft u zelfs per organisatie niveau hiervan een regenboog diagram gemaakt, zoals de volgende:
 
 
FIGUUR 1, Regenboog diagram

Uit dit diagram blijkt dat risico A ‘het spannendst’ is; zowel op kans op voorkomen als impact indien het risico zit voordoet scoort risico A het hoogst. Risico B heeft een redelijk hoge kans, maar beperkte impact. Risico C heeft een iets hogere impact (dan B), maar een lagere kans op vóórkomen.

Van risico naar beheersing; van A naar A’
De risico’s zijn nu helder en dan kan het haast niet anders of uw organisatie heeft de stap ook gemaakt naar het benoemen van passende beheersmaatregelen en misschien zelfs met eigenaren en deadlines. Maar wilt u AL deze beheersmaatregelen wel uitvoeren? Zijn ze allemaal even effectief? Hebben verschillende maatregelen niet een zelfde effect? En zijn ze de investering waard? Om dit te beantwoorden moeten we een stapje verder in de regenboog diagram. Hierbij is het van belang om, liefst samen met de groep die de risico’s benoemd heeft, vast te stellen hoe het risico eruit ziet na implementatie van (clusters van) de beheersmaatregelen.
_________________________________________________________________________
Tijdens de opleiding Risicomanagement ontdekt u in vijf dagen alle facetten van integraal risicomanagement. Na afloop scant u uw organisatie op risico's en stelt u een praktisch en toepasbaar beheersplan op. Verstevig groei en waarborg continuïteit. Meld u direct aan.
_________________________________________________________________________ 
 
Vreemd genoeg blijkt uit dit proces namelijk dat bij een risico dat hoog scoort op impact en laag op kans de beheersing zich vaak richt op de kans reductie. Of andersom. Voorbeeld: De kans op overstroming in een gebied waar u uw serverpark heeft staan is erg klein, maar als het zich voordoet is de schade erg groot. Ga je dan investeren in dijkverhoging (=kans reductie) of in pompen en het vrijhouden van de eerste verdieping (=impact reductie)?
 
Door met elkaar het effect van (clusters van) maatregelen te bespreken wordt dit inzichtelijk gemaakt en kan de regenboog diagram verrijkt worden met een A’ bij iedere A, om zo het toekomstig risico, na implementatie van de beheersmaatregelen te duiden.

Dat kan er dan zo uitzien:
 
 
FIGUUR 2, Regenboog diagram met pijlen

In dit diagram blijkt dat risico A hoog scoorde op zowel kans als impact en na de set van beheersmaatregelen uitkomt op nog steeds een flinke kans, maar veel lagere impact. Blijkbaar is er goed gewerkt aan repressieve maatregelen. Risico B naar B’ laat vooral een reductie zien van de kans op voorkomen, hier is goed nagedacht over preventieve maatregelen

En zo is te zien dat de lengte van de pijl van A naar A’ gelijk is aan de effectiviteit van de set van beheersmaatregelen voor risico A.

Effectiviteit versus inspanning
Nu duidelijk is welke combinatie van beheersmaatregelen welk effect hebben op de reductie van het risico is het goed om te kijken of het de ingeschatte inspanning ook waard is, want ook hier gelden de regels van de bedrijfskunde: de investering moet passen binnen een risico versus rendement verhouding. Als het voorkómen van een schade meer kost dan het optreden van de schade(s) moet je je afvragen of je het risico niet beter gewoon wil lopen. Hierbij helpt het om het volgende overzicht te maken:
 
 
FIGUUR 3, investeringsoverzicht
 
 
FIGUUR 4, investeringsoverzicht met risico A en B

In dit overzicht staat op de horizontale as de inspanning; het totaal van de inspanningen die gemaakt moeten worden om de maatregel uit te voeren. Dit kan zijn ‘out of pocket’ kosten voor een aanschaf, maar ook (over)werkuren, trainingen, communicatie enzovoort. Op de verticale as staat de effectiviteit; in het geval van risico beheersmaatregelen gaat het hier om de reductie van het risico. Die effectiviteit was in het vorige overzicht de lengte van de pijl van A naar A’ en die lengte kan nu ook gebruikt worden. Dit doen we ook voor B. We veronderstellen even voor het gemak dat de investering voor de beheersmaatregelen van A niet hoog zijn, maar die van B juist wel. In figuur 4 leidt dit tot de plot van de beheersmaatregelen van risico A en risico B waarbij de combinatie van de effectiviteit en de beheersing samenkomen.

Dan voegen we nu de laatste stap toe: vier kwadranten die helpen bepalen wat de goede keuzes zijn. 
 
 
FIGUUR 5, investeringsoverzicht met kwadranten

Uit deze figuur 5 blijkt dat in het kwadrant linksboven het laaghangende fruit zich bevindt: de inspanning is laag en de effectiviteit is hoog. Rechtsonder zijn de gebieden waar je niet wilt zijn: het kost veel, maar levert te weinig op. Een slechte (risico) investering. Links onder is het gebied waar zowel de investeringen als de opbrengsten beperkt zijn. Dit gebied noemen we de ‘Kleine Winst’ omdat je er als organisatie niet slechter van wordt. Rechts boven staan de strategische beslissingen: de grootste inspanningen, maar ook de grootste resultaten. Hier praat je over nieuwe systemen, fusies en overnames, offshoring et cetera. Keuzes die een organisatie kunnen doen excelleren of de kop kunnen kosten.

Wat wel en wat niet?
Laten we terugkeren naar de oorspronkelijke vraag; wat zijn de juiste investeringen in risico management? 

hiervoor voegen we nu de figuren 4 en 5 samen in figuur 6
 
 
FIGUUR 6, investeringsoverzicht met kwadranten en beheersmaatregelen

Uit dit schema blijkt dat het goed is in ieder geval eerst het laaghangend fruit te plukken. De maatregelen van Risico A moeten zo te zien zeker genomen worden. Er kunnen tegelijk keuzes gemaakt worden, maar op verschillende niveaus, over de kleine winsten en de strategische investeringen. De maatregelen voor de reductie van risico B (zie figuur 2) lijken niet op te wegen tegen de verwachte kosten. Logischerwijze valt dat project af. Voor transparantie, maar vooral voor het periodiek bewaken en monitoren van je risico projecten is dit een bijzonder prettig overzicht gebleken.

De auteurs:

Rob van Erp is zelfstandig adviseur op het integrale terrein van risicomanagement.  Rob werkt sinds 1997 in het vakgebied van risico management en heeft eerder bij Ernst & Young, ABN-Amro, RBS en Achmea gewerkt. Bij Ernst & Young was dat als consultant Treasury & Financial Risk Management, bij ABN-AMRO was Rob wereldwijd hoofd van Operational Risk Management voor Global Markets en Global Clients.
Voor RBS was hij verantwoordelijk voor compliance van de retail-klanten in Europa, het Midden Oosten en Afrika (met uitzondering van Nederland). Voor Achmea was Rob verantwoordelijk voor Risk & Compliance, inclusief ISM, BCM en in en externe fraude. Rob geeft ook trainingen op het gebied van risicomanagement. Zowel vaktechnisch (financiële instrumenten of beleidsmatig) als op de softskills van een risico- of compliancemanager gericht.

Wim Pauw is zelfstandig adviseur Non Financial (Operational) Risk - en Interim (Change) Management. 
Als zelfstandige en ook daarvoor is hij bij diverse grote financiële dienstverleners maar ook bij profit en non-profit organisaties als lijn-, project- en change manager verantwoordelijk voor (Non Financial) Risk en Compliance en het zo effectief en efficiënt mogelijk laten functioneren van multidisciplinaire R&C- en projectteams. Hij was ook verantwoordelijk voor risicomanagement in diverse grote (SAP-) projecten. Verder is hij spreker over onder meer praktisch en pragmatisch risicomanagement, docent bij TIAS Business School (Tilburg University) en auteur van diverse publicaties.