De juiste investeringen in risico management

Bij investeringen in risico beheersing gaat het erom om de juiste keuzes te maken. Hoe maak je deze juiste keuzes op een goed onderbouwde manier?

Voor dit verhaal gaan we er gemakshalve van uit dat u de basis van risico management beheerst; uw organisatie heeft op de juiste niveaus in de organisatie een Risico Assessment gedaan, deze gekoppeld aan de juiste doelstellingen en in samenwerking met en ondersteund door de juiste personen. U kent de belangrijkste strategische risico’s, uw tactische of operationele risico’s en uw project risico’s zijn ook in beeld.

U heeft zelfs een goed inzicht in de kans en impact van deze risico’s; uw organisatie heeft een inschatting kunnen maken van de waarschijnlijkheid van het optreden van de belangrijkste risico’s én de schade voor de doelstellingen of het slagen van het project indien het zich voordoet. Wellicht heeft u zelfs per organisatie niveau hiervan een regenboog diagram gemaakt, zoals de volgende:

 

 

Uit dit diagram blijkt dat risico A ‘het spannendst’ is; zowel op kans op voorkomen als impact indien het risico zit voordoet scoort risico A het hoogst. Risico B heeft een redelijk hoge kans, maar beperkte impact. Risico C heeft een iets hogere impact (dan B), maar een lagere kans op vóórkomen.

De risico’s zijn nu helder en dan kan het haast niet anders of uw organisatie heeft de stap ook gemaakt naar het benoemen van passende beheersmaatregelen en misschien zelfs met eigenaren en deadlines. Maar wilt u AL deze beheersmaatregelen wel uitvoeren? Zijn ze allemaal even effectief? Hebben verschillende maatregelen niet een zelfde effect? En zijn ze de investering waard? Om dit te beantwoorden moeten we een stapje verder in de regenboog diagram. Hierbij is het van belang om, liefst samen met de groep die de risico’s benoemd heeft, vast te stellen hoe het risico eruit ziet na implementatie van (clusters van) de beheersmaatregelen.

_________________________________________________________________________

Tijdens de opleiding Risicomanagement ontdekt u in vijf dagen alle facetten van integraal risicomanagement. Na afloop scant u uw organisatie op risico’s en stelt u een praktisch en toepasbaar beheersplan op. Verstevig groei en waarborg continuïteit. Meld u direct aan.

_________________________________________________________________________ 

 

Vreemd genoeg blijkt uit dit proces namelijk dat bij een risico dat hoog scoort op impact en laag op kans de beheersing zich vaak richt op de kans reductie. Of andersom. Voorbeeld: De kans op overstroming in een gebied waar u uw serverpark heeft staan is erg klein, maar als het zich voordoet is de schade erg groot. Ga je dan investeren in dijkverhoging (=kans reductie) of in pompen en het vrijhouden van de eerste verdieping (=impact reductie)?

 

Door met elkaar het effect van (clusters van) maatregelen te bespreken wordt dit inzichtelijk gemaakt en kan de regenboog diagram verrijkt worden met een A’ bij iedere A, om zo het toekomstig risico, na implementatie van de beheersmaatregelen te duiden.

Dat kan er dan zo uitzien:

 

 

In dit diagram blijkt dat risico A hoog scoorde op zowel kans als impact en na de set van beheersmaatregelen uitkomt op nog steeds een flinke kans, maar veel lagere impact. Blijkbaar is er goed gewerkt aan repressieve maatregelen. Risico B naar B’ laat vooral een reductie zien van de kans op voorkomen, hier is goed nagedacht over preventieve maatregelen

En zo is te zien dat de lengte van de pijl van A naar A’ gelijk is aan de effectiviteit van de set van beheersmaatregelen voor risico A.

Nu duidelijk is welke combinatie van beheersmaatregelen welk effect hebben op de reductie van het risico is het goed om te kijken of het de ingeschatte inspanning ook waard is, want ook hier gelden de regels van de bedrijfskunde: de investering moet passen binnen een risico versus rendement verhouding. Als het voorkómen van een schade meer kost dan het optreden van de schade(s) moet je je afvragen of je het risico niet beter gewoon wil lopen. Hierbij helpt het om het volgende overzicht te maken:

 

 

 

 

In dit overzicht staat op de horizontale as de inspanning; het totaal van de inspanningen die gemaakt moeten worden om de maatregel uit te voeren. Dit kan zijn ‘out of pocket’ kosten voor een aanschaf, maar ook (over)werkuren, trainingen, communicatie enzovoort. Op de verticale as staat de effectiviteit; in het geval van risico beheersmaatregelen gaat het hier om de reductie van het risico. Die effectiviteit was in het vorige overzicht de lengte van de pijl van A naar A’ en die lengte kan nu ook gebruikt worden. Dit doen we ook voor B. We veronderstellen even voor het gemak dat de investering voor de beheersmaatregelen van A niet hoog zijn, maar die van B juist wel. In figuur 4 leidt dit tot de plot van de beheersmaatregelen van risico A en risico B waarbij de combinatie van de effectiviteit en de beheersing samenkomen.

Dan voegen we nu de laatste stap toe: vier kwadranten die helpen bepalen wat de goede keuzes zijn. 

 

 

Uit deze figuur 5 blijkt dat in het kwadrant linksboven het laaghangende fruit zich bevindt: de inspanning is laag en de effectiviteit is hoog. Rechtsonder zijn de gebieden waar je niet wilt zijn: het kost veel, maar levert te weinig op. Een slechte (risico) investering. Links onder is het gebied waar zowel de investeringen als de opbrengsten beperkt zijn. Dit gebied noemen we de ‘Kleine Winst’ omdat je er als organisatie niet slechter van wordt. Rechts boven staan de strategische beslissingen: de grootste inspanningen, maar ook de grootste resultaten. Hier praat je over nieuwe systemen, fusies en overnames, offshoring et cetera. Keuzes die een organisatie kunnen doen excelleren of de kop kunnen kosten.

Laten we terugkeren naar de oorspronkelijke vraag; wat zijn de juiste investeringen in risico management? 

hiervoor voegen we nu de figuren 4 en 5 samen in figuur 6

 

 

Uit dit schema blijkt dat het goed is in ieder geval eerst het laaghangend fruit te plukken. De maatregelen van Risico A moeten zo te zien zeker genomen worden. Er kunnen tegelijk keuzes gemaakt worden, maar op verschillende niveaus, over de kleine winsten en de strategische investeringen. De maatregelen voor de reductie van risico B (zie figuur 2) lijken niet op te wegen tegen de verwachte kosten. Logischerwijze valt dat project af. Voor transparantie, maar vooral voor het periodiek bewaken en monitoren van je risico projecten is dit een bijzonder prettig overzicht gebleken.