In de literatuur en in het dagelijks woordgebruik worden verschillende definities en interpretaties van de woorden risico en risicomanagement gebruikt. Voor sommigen heeft risicomanagement een negatieve connotatie; voor anderen klinkt het meer als een combinatie van kansen en onzekerheden.

Wat is risicomanagement?

De Nederlandse betekenis van het woord risico is sinds 1525 gevaar van schade of verlies; een vrij negatieve betekenis. Het woord 'rysigo' had in de zestiende eeuw in het Duits de betekenis durven te ondernemen, hoop op economisch succes. Het Arabische woord 'rizq' had de betekenis het zoeken van opportuniteit, voordeel of geluk. Deze twee laatste definities hebben een veel positievere connotatie.

Risicomanagement en onzekerheden

Aangezien wij risicomanagement bekijken als een onderdeel van strategisch management, gaan wij uit van onzekerheden die het behalen van de strategie en doelstellingen kunnen belemmeren. Hierbij zijn zowel de negatieve als de positieve definities van risico relevant. Er is onderscheid te maken tussen pure risico’s (risico’s met alleen een potentiële negatieve uitkomst) en speculatieve risico’s (kansen/opportuniteiten die ook een potentieel negatief effect hebben). De speculatieve risico’s hebben in aanvang meer aandacht gekregen in boardrooms dan de pure risico’s, omdat er met die laatste niets te winnen valt.

Definitie risico

Ik definieer risico als volgt: "Risico is een onzekere gebeurtenis die het behalen van de strategie en doelstellingen van een organisatie, of de uitkomst van een project, negatief kan beïnvloeden."

Definitie risicomanagement

De definitie van risicomanagement is dan: "Risicomanagement is het proces om risico's zodanig te beheersen dat meer zekerheid bestaat dat de organisatie haar doelstelling(en) zal realiseren, of een project zal doen slagen."

Risicomanagement als vak

Het vak risicomanagement wordt vaak geassocieerd met modellen, statistiek en financiën. Dat is niet terecht. De kern van het risicomanagement ligt in het maken van inschattingen van toekomstige gebeurtenissen en trendbreuken. Ook is het van belang ons te realiseren dat besluitvorming ten dele niet rationeel is. Mensen maken onverwachte keuzes en hieruit komen nieuwe onzekerheden voort.

Basisproces risicomanagement

Risicomanagement wordt conform de hiervoor gegeven definitie dus gezien als een proces. Het risico­management­proces kent in de basis 6 stappen, te weten:

  1. Identificeren

    Risicomanagement start met het identificeren van risico’s. Dit kan plaatsvinden op verschillende niveaus in de organisatie (strategisch, tactisch, operationeel) en kan betrekking hebben op een breed scala aan risicocategorieën. Soms beperkt de identificatie zich tot een specifieke risicocategorie, zoals frauderisico of compliance-risico. Het is belangrijk dat de organisatie vooral naar de risico's kijkt die het realiseren van de strategie en doelstellingen van de organisatie in gevaar kunnen brengen.

  2. Analyseren

    De volgende stap in het risicomanagementproces is het analyseren van de risico's die geïdentificeerd zijn. Het analyseren van risico’s kan op verschillende manieren, waarbij de analysemethoden grofweg ingedeeld kunnen worden in kwalitatieve methoden en kwantitatieve methoden.

  3. Evalueren

    Nadat de risico's geanalyseerd zijn, moeten de risico's geëvalueerd worden. Daarbij staat de vraag centraal of de risico's passen binnen de bereidheid van de organisatie om de betreffende risico's te lopen.

  4. Behandelen

    Afhankelijk van de uitkomsten van de evaluatie moet de organisatie een besluit nemen over de wijze waarop ze met de risicos om wil gaan. Daarbij heeft de organisatie de keuze uit verschillende risicoreacties.

  5. Monitoren & beoordelen

    De organisatie moet vervolgens de risico's en de ontwikkelingen daarin bewaken en periodiek opnieuw beoordelen.

  6. Communiceren & rapporteren

    De laatste stap in het risicomanagementproces is het periodiek communiceren en rapporteren over de risico's. Dit betreft zowel interne en externe rapportages.

Welk model voor risicomanagement kan ik het beste toepassen?

Het is een eenvoudige vraag waarop veel antwoorden mogelijk zijn. Veel antwoorden, omdat er zo veel modellen, raamwerken, standaarden en methoden voor risicomanagement zijn. Vrijwel elke discipline heeft er wel een aantal. In de praktijk blijkt dat er maar één juist antwoord op te geven is. Dit is tegelijkertijd een ontnuchterend antwoord: er is namelijk maar één risico­management­model!

De risicomatrix

Om de factoren kans/risico enerzijds en impact anderzijds visueel weer te geven wordt gebruik gemaakt van een risicomatrix. De invulling van kans/risico in die matrix is in veel gevallen min of meer hetzelfde, bijvoorbeeld zoals die in onderstaande matrix. De impact is echter voor iedere organisatie anders. Een schadepost van bijvoorbeeld € 20.000 kan voor een eenmanszaak groot tot desastreus zijn, terwijl het voor een multinational waarschijnlijk klein of zelfs niet merkbaar is. Daarom wordt voor impact vaak een abstracte term gekozen, die iedere organisatie voor zichzelf concreet moet maken.

                          I    M    P    A    C    T
 
 
 K
A
N
S

R
I
S
I
C
O
zeer klein klein gemiddeld groot zeer groot
zeer hoog gemiddeld hoog hoog kritiek kritiek
hoog gemiddeld gemiddeld hoog kritiek kritiek
aanwezig laag gemiddeld hoog hoog kritiek
laag laag gemiddeld gemiddeld hoog hoog
zeer laag laag laag gemiddeld gemiddeld hoog

Infographic: voorbeeld risicomatrix

Veel risicomanagementmodellen

Vrijwel elke vakgebied heeft eigen versies van risicomanagementmodellen, denk aan de wettelijk verplichte risico-inventarisatie en -evaluatie (RI&E) voor ARBO-veiligheid. Daarnaast zijn er de algemene modellen, raamwerken, standaarden en methoden. In Nederland worden voor risicomanagement bijvoorbeeld COSO, ISO, INK, Lean Six Sigma, COBIT, IRM, ALARM, Management of Risk (M_o_R) en RISMAN gebruikt.

Risicomanagementmodellen

Drie veelgebruikte algemene modellen voor risicomanagement zijn:

  1. het COSO Enterprise Risk Management;

  2. de ISO 31000 richtlijn voor risicomanagement;

  3. de RISMAN-methode. De methode wordt beheerd door het kennisplatform CROW.

Deze drie worden in Nederland toegepast in allerlei soorten organisaties, publiek, semipubliek, bedrijven en projecten. COSO en ISO zijn in respectievelijk 2017 en 2018 vernieuwd, RISMAN is al wat ouder.

Zijn er verschillen?

Ze starten alle drie met doelen. Vervolgens brengen ze risico's in kaart en worden die op de een of andere wijze gewogen. Dit leidt tot het kiezen van maatregelen, beoordeling of die werken, communicatie en iets van rapportage. Zijn er dan wezenlijke verschillen? Niet echt: in wat andere bewoordingen zeggen ze ongeveer hetzelfde.

Risicomanagementmodellen samengevat

De essentie is los van al die ogenschijnlijk verschillende modellen, raamwerken, standaarden en methoden, dat risico­management steeds weer bestaat uit de zes hiervoor genoemde algemeen toepasbare risico­stappen. Het is de bedoeling dat deze stappen achtereen­volgens worden doorlopen, met een mate van detail waar de situatie om vraagt. Dat kan dus nogal verschillen, afhankelijk van de sector, de context en de aard van de risico's.

Zowel in Nederland als internationaal zijn er zeer veel risico­management­modellen, raamwerken, standaarden en methoden in omloop. Hiermee is risico­management makkelijk ontoegankelijk en onnodig moeilijk te maken. U ziet dan door de bomen het bos niet meer. Uit een vergelijking volgt dat de meeste risico­management­benaderingen op hetzelfde neerkomen. Ze zijn samen te vatten in één model, dat bestaat uit een cyclus van zes opeenvolgende stappen. Wilt u binnenkort iets met risico­management­modellen gaan doen? Ga dan van véél, via drie, naar één algemeen toepasbaar model: benut de zes algemene risico­stappen en doe daar uw voordeel mee.