Innovatieplatform DIV over risicomanagement

Risicomanagement begint bij kennis. Maar wat dan?

Risicomanagement begint bij kennis. Maar wat dan?
Risico’s nemen hoort bij ons leven. Zowel privé als zakelijk. Hoe we met risico’s omgaan verschilt per persoon, bedrijf, maar ook per cultuur. Nu net terug van vakantie. Wezen kamperen in Frankrijk en dus veel met de auto gereden; je ziet dat de risico’s in het verkeer door Fransen, Italianen en Duitsers anders worden ingeschat dan door de doorsnee Nederlander. Zeker op bergachtige, slingerende en onoverzichtelijke wegen, word ik geregeld ingehaald op plaatsen waar ik denk: “Nu hoeft er maar eentje van de andere kant aan te komen en we hebben een groot probleem.” Mijn reactie is gas terugnemen, die van de inhalende bestuurder juist gas erbij. Misschien wist de ervaren ‘local’ dat er in deze bocht bijna nooit een tegenligger komt en vond hij het risico aanvaardbaar, maar ik wist dat niet en nam geen risico.
Vandaag stond er in de krant een artikel over het feit dat de laatste jaren steeds meer schadeclaims worden ingediend door natuuroverlast. Gesteld wordt dat het veranderende weer geen incident meer is, maar structureel. We moeten rekening houden met extremer weer. Nu blijkt dat het in de meeste gevallen gaat om overlopende goten en vollopende kelders. In deze gevallen kan niets doen en stellen dat, als het een keer gebeurt, je het dan wel oplost en de kosten gewoon betaalt, een juiste houding zijn. Je kunt je verzekeren tegen de schade die je in zo’n geval oploopt of structureel de afwatering verbeteren. Een goot kun je zelf nog wel vervangen, maar een goede riolering moet al snel met de buren en de gemeente worden aangepakt. Hoe groter je het risico inschat (de kans dat iets gebeurt en de consequenties die het dan kan hebben), hoe meer bereid je bent je goed te verzekeren (kosten te maken) en met anderen de handen ineen te slaan.
Privé is risicomanagement al lastig te regelen, we missen vaak de ervaring om iets goed in te schatten en de verzekeraars zetten je vaak op het verkeerde been. Zakelijk weten we risico’s voor ons project of bedrijf ook maar moeilijk in te schatten. Hoe vaak is de risicoparagraaf van een projectplan een ‘wassen neus’? De meest logische zaken worden genoemd: uitlopen in tijd, gebrek aan draagvlak, ontbreken van specifieke capaciteit et cetera. Vaak missen we de kennis en de ervaring om risico’s goed in te kunnen schatten. We doen dit voor het eerst. En als we al de belangrijkste risico’s weten in te schatten, dan ontbreken vaak de vervolgacties, zoals het bedenken van de juiste maatregelen of het toezien op het voorkomen van een bepaald risico en het tijdig uitvoeren van de bedachte maatregelen.
Belangrijkste bij risicomanagement is: neem het serieus, zorg voor ervaringskennis, maar overdrijf niet. Daarnaast is het nooit de verantwoordelijkheid van één persoon, de projectleider of bedrijfsleider of wie dan ook. Je moet komen tot een gezamenlijke inschatting van de risico’s die je wilt en kunt lopen en de maatregelen die je moet en kunt nemen. Afhankelijk van de risico’s die je loopt, wordt het aantal betrokkenen en medeverantwoordelijken groter.
En kun je het risico niet overzien, zoals passeren in de bocht, dan moet je het risico niet nemen.

Koos Passchier, koos.passchier@van-morgen.nl

Genoeg risico’s gemanaged
U kunt dit net zo relaxt lezen als ik het schreef, want een verzekeraar weet per definitie om te gaan met het managen van risico’s. Ook als hiervoor zorgvuldig intern beleid moet zijn ontwikkeld en toegepast, welke is afgeleid van de geldende externe eisen en interne wensen. En zeker ook als alle recordmanagementprocessen zorgvuldig gedocumenteerd terug te vinden moeten zijn naast een actueel bijgehouden documentair informatiestructuurplan, welke de operaties voedt met hoe alles moet. Het record keeping system is vanzelfsprekend beproefd qua duurzaamheid, tegelijk heel toegankelijk voor ieder die het moet gebruiken en afgeschermd tegelijk voor hen die er niet bij mogen. De informatie is altijd traceerbaar en de onderlinge relatie tussen informatiedeeltjes die over dezelfde zaak gaan, zijn in de juiste context reconstrueerbaar. In de audit op de processen wordt niet vergeten te checken of de medewerkers up-to-date geschoold zijn in het naleven van de alle procedures.
Toch word ik wat minder ontspannen van het gevoel niet goed in te kunnen schatten wanneer het goed genoeg is. Wat goed voelt, is goed? Of wat meetbaar aantoonbaar volgens zorgvuldig tevoren vastgestelde normen kan worden gerapporteerd, is goed? Zijn die normen dan ooit goed vastgesteld en nog actueel realistisch en is onze wijze van meten eenduidig en transparant? Genoeg, less is more! Wellicht focussen we ons teveel op procesmodellen en systeemprocedures en te weinig op de mens.
Stimuleer het gezond en aandachtig werken van mensen, investeer vooral extra in begeleiden en opleiden op al die momenten dat mensen, processen, procedures en omgevingen veranderen, want dáár liggen valkuilen voor zich herhalende en nieuwe risico’s. Mensen raken informatie nooit echt kwijt, het is altijd even ergens waar we het tijdelijk niet weten. Met gezond en aandachtig werken zijn risico’s voor een groot deel als vanzelf uitgebannen. En de rest valt vast te verzekeren.

Ton van Bedaf, ton.van.bedaf@achmea.nl

Om risico’s te verkleinen, kun je de CIO links laten liggen TEKST MARK HOOGLAND | MARK.HOOGLAND@KBENP.NL
De basis van risicomanagement is dat je als organisatie wilt weten wat je financiële, juridische, continuïteits- of andere risico’s zijn. Dit bepaal je door de kans in te schatten en te vermenigvuldigen met de mogelijk uitwerking ervan, het gevolg: Risico = Kans x Gevolg. De vraag is dan wel hoe groot een risico moet zijn om deze ook daadwerkelijk te willen managen. Al meer dan tien jaar vragen mensen zich af of het een hype is. Hype of niet, het risicomanagement heeft de ene na de andere crisis in de wereld niet kunnen voorkomen. Het moet gezegd worden, risicomanagement kan van nut zijn voor de financiële huishouding en daarmee de continuïteit van een organisatie. Kan, want het heeft niet gewerkt voor de hogescholen, universiteiten en woningcorporaties die kansen en gevolgen te laag hebben ingeschat, toen ze derivaten afsloten.
Is het toepassen van risicomanagement op de informatiehuishouding nuttig? Niet zo. Er zijn zeker risico’s en een CIO of een informatiemanager vindt vast ergens grote risico’s, maar ze brengen allemaal de continuïteit van de organisatie niet in gevaar. Voorbeelden te over. Onvolledige dossiers, kwijtgeraakte stukken, een rechter die zijn computer aan de weg zet, een agent die een USB-stick laat slingeren. De kans bestaat, maar wat is het gevolg? Mogelijk imagoschade, maar met wat creativiteit is die zo gerepareerd. En het niet voldoen aan de archiefwet? Er is nog geen archiefinspecteur die een slot om het gemeentehuis heeft gegooid. Of voorbeelden die onlangs groots in het nieuws waren: gemeenten die getroffen werden door een trojan horse, of een heel gemeentehuis dat afbrandt. Qua informatiehuishouding weinig gevolgen, want er waren back-ups en papieren waren goed opgeborgen. De gevolgen zijn weliswaar even vervelend, maar geenszins is de continuïteit van de organisatie in het geding geweest. Hebben deze organisaties die dit overkwamen dan risicomanagement goed toegepast? Nee hoor. Het is een kwestie van een gezonde dosis boerenverstand, een vleugje logisch nadenken, een schepje realiteitszin en niet te veel nadenken, maar gewoon doen.
Informatiemanagement is ondersteunend aan het uitvoeren van werkzaamheden. Met goed informatiemanagement verlopen de werkzaamheden soepeler. Dat is een ander uitgangspunt dan het willen verminderen van risico’s. Hoe goed je het informatiemanagement op orde hebt, het levert slechts een kleine bijdrage aan het verkleinen van de echte risico’s. Richt je bij risicomanagement tot diegene die de continuïteit van de organisatie in gevaar brengen, dus stap af op de treasurer of diegene die met veel geld omgaat. De CIO of de informatiemanager kun je links laten liggen. Of ben ik nu te cynisch en heb ik het bij het verkeerde eind? Ik hoor graag je mening.

Mark Hoogland, mark.hoogland@kbenp.nl

De angst regeert: risicomanagement TEKST GERT-JAN DE GRAA F | GERTJAN.DEGRAA F@DINO4.NL
De laatste jaren is risicomanagement een serieuze bezigheid geworden. Iedere discipline doet aan risicomanagement. Ook de disciplines die eigenlijk geen flauw benul hebben waar het over gaat of zou moeten gaan: dan bedenk je maar wat. Als je maar aan risicomanagement doet. Ik ken uit eigen ervaring topbestuurders van grote organisaties, die in een gesprek over nieuwe ontwikkelingen of kansen doodleuk als eerste inhoudelijke inbreng zeggen: we moeten de risico’s wel goed managen.
De aandacht voor risicomanagement is een direct gevolg van het feit dat er steeds meer zaken verkeerd gaan. Het is net als met vrede: niemand denkt eraan of heeft het erover als iedereen vredig met elkaar omgaat, maar het ligt als ideaal op de lippen van eenieder die zich in een oorlogssituatie bevindt. Er zijn talen waarin het woord ‘vrede’ niet voorkomt. Dat komt niet doordat de volken die deze talen spreken permanent oorlog voeren en dus niet weten wat vrede is, maar het komt doordat deze volken geen oorlog kennen. Daarmee is ‘vrede’ ook geen nuttig begrip voor hen.
Wat zegt dit over risicomanagement? Naar mijn mening dat er zo verschrikkelijk veel fout gaat dat het vermijden van fouten de grootste prioriteit wordt. Althans, in de beleving. In werkelijkheid gebeuren er natuurlijk heel andere dingen. Risicomanagement wordt zo verschrikkelijk belangrijk, dat het niet meer gaat over het bereiken van zaken, maar om het voorkomen van fouten bij het bereiken van zaken. Het doel is ondergeschikt aan het middel om dat doel ongeschonden te bereiken. Wat is het toch jammer dat dit fenomeen ook in ons vakgebied zijn intrede heeft gedaan. ICT als vakgebied heeft zichzelf permanent verlamd door het managen van risico’s belangrijker te maken dan het realiseren van handige toepassingen. Gezien het bovenstaande weten wij hoe dat komt: doordat de afgelopen dertig jaar zo ongeveer ieder ICT-project van een beetje omvang is mislukt. De reflex om ervoor te zorgen dat niet alles meer mislukt, is begrijpelijk, maar werkt averechts: al die extra energie in risicomanagement heeft een verlammend effect. Niet het bereiken van doelen, maar het vermijden van fouten is topprioriteit geworden. De aandacht gaat hiermee voornamelijk naar het negatieve in plaats van naar het positieve. Zo is risicomanagement een verlammende factor geworden, net als de verschillende projectmanagementmethoden dat dikwijls zijn. Het middel is belangrijker geworden dan het doel. De operatie is belangrijker dan de visie. Zo worden ICT-projecten beoordeeld op het correct volgen van methodes en procedures, niet op hetgeen waarvoor ze uiteindelijk zijn bedoeld: het werken gemakkelijker, sneller, efficiënter of leuker maken. Laten wij binnen informatiemanagement deze kant toch niet opgaan. Of beter: laten wij het risico dat ons vak verlamd wordt door risicomanagement, goed managen.

Het lijkt er misschien op dat ik ervoor pleit om maar op te houden met die flauwekul van risicomanagement, maar dat is niet zo. Natuurlijk is het verstandig om ervoor te zorgen dat er dingen goed gaan in plaats van verkeerd. Maar laten we ervoor waken nóg een verlammende factor te introduceren. Daarvan hebben we er al genoeg. Die houden ons lekker bezig, maar niet met de juiste dingen.

Gert-Jan de Graaf, gertjan.degraaf@dino4.nl