Skip to content

Volwassenheid van risicomanagement

2 november 2015

 

risicomanagement

Risicomanagement is een grotere rol gaan spelen bij de ISO managementsysteemnormen. Het is dan ook zaak om als organisatie naar je risicomanagementsysteem te kijken en de volwassenheid van dit systeem te beoordelen: in welke mate voldoet risicomanagement aan de doelstellingen van de organisatie. In het bijzonder wil ik dit toepassen op productiebedrijven, waar risicomanagement gedurende de hele levenscyclus van het product (van initiële ontwikkeling totdat het van de markt wordt gehaald) een rol speelt.

Eind vorige eeuw werd een model voor Risk Maturity ontwikkeld door David Hilson (“Toward a Risk Maturity Model” 1997). Dit model kent een viertal niveaus:

Niveau 1: Naïef: Op het basisniveau is de organisatie zich niet bewust van de noodzaak voor risicomanagement. Men is niet bewust bezig met zich voor te bereiden op onzekerheden. In projecten wordt niet geanticipeerd op toekomstige problemen, de organisatie vertrouwt op haar creativiteit en oplossend vermogen. Er is geen gestructureerde risicomanagement aanpak. Er wordt bij innovatie- en verbeterprojecten geen poging gedaan om risico’s vooraf te identificeren en passende beheersplannen te ontwikkelen. De organisatie heeft een reactieve ad hoc mentaliteit. Als problemen optreden wordt op onderbuikgevoel oplossingen aangedragen en op basis van trial en error geëvalueerd. Maatregelen worden alleen binnen de reikwijdte van het project genomen. Het proactieve nut voor de rest van de organisatie wordt niet erkend. Het succes van ontwikkel- en verbeterprojecten hangt dan ook af van de engineer met voldoende kennis. Hij is de held van het project, maar zijn kennis wordt niet expliciet gemaakt, zodat deze breder kan worden ingezet. Verlaat de engineer het project of erger nog, de organisatie, dan verdwijnt zijn kennis met hem.

Organisaties op dit niveau worden veelal geplaagd door vermijdbare problemen. Projecten verlopen chaotisch en er is vaak sprake van crisismanagement. Succes wordt wel bereikt, maar vaak ten koste van tijd- en budgetoverschrijdingen. Soms worden deze wel als storend ervaren, maar heeft men door de veelheid aan problemen niet het vermogen om risicomanagement te ontwikkelen en in te zetten. Het is dus vaak erg moeilijk voor organisaties om van niveau 1 naar niveau 2 te geraken.

Niveau 2: Novice: Op het novice niveau wordt de organisatie gedreven door de wens om in overeenstemming te zijn met oplegde eisen voor risicomanagement. Deze eisen kunnen voortkomen uit wet- en regelgeving of afkomstig zijn van hoofdkantoren. De risico assessments worden uitgevoerd met de bedoeling om aan te tonen dat voldoende effectieve beheersmaatregelen zijn geïmplementeerd. In het slechtste geval wordt vooraf nadrukkelijk gesteld dat het niet de bedoeling om onbeheerste risico’s te identificeren. Risicomanagement is een reactieve in plaats van proactieve beoordeling van de mate van gevoeligheid voor onverwachte omstandigheden. Er is nauwelijks betrokkenheid van ervaringsdeskundigen, staffunctionarissen met oppervlakkige kennis voeren de risicoanalyses uit. Risicoanalyses omvatten de meest bekende of voorspelbare risico’s. De waarschijnlijkheid, impact en de ernst van de gevaren worden kwalitatief bepaald.

Risicomanagement is een eenmalig activiteit en geen continu proces. Eenmaal gemaakt, verdwijnt de risicoanalyse in de la. Het wordt niet gebruikt als informatiebron bij kwaliteitsproblemen. Hierdoor is er ook geen behoefte aan het bijhouden van de risicoanalyses. Een zwak Risico Management Rapport is een indicatie dat de organisatie risicomanagement niet serieus neemt. Een rapport dat is beperkt blijft tot de alle risico’s bleken aanvaardbaar” verklaring lijkt te impliceren dat de organisatie zegt: “Ja, we hebben de verplichte risicoanalyse gedaan, dit is ons bewijs, en nu hoeven we er verder niet meer over na te denken.

Er zijn nog geen formele procedures voor risicomanagement. Mede hierdoor hebben organisaties een gefragmenteerde risicomanagementaanpak. Er is geen onderlinge relatie tussen de verschillende risicoanalyses; elke analyse heeft zijn eigen doel en ze zijn regelmatig onderling met elkaar in tegenspraak. Nieuwe risico’s die worden geïdentificeerd tijdens kwaliteitsproblemen of bij wijzigingsanalyses worden niet opgenomen in de centrale risicoanalyses. Hierdoor blijft het moeilijk om ervaringen te gebruiken buiten de reikwijdte van het project, ook al is men zich bewust van de meerwaarde van de leerervaring. Ook hebben de risicoanalyses onvoldoende relatie met de overige product- en procesontwikkelactiviteiten zoals concept ontwikkeling en validatie. De intentie bestaat om de resultaten van de risicoanalyses te gebruiken als input voor de product- en procesontwikkeling, maar dit doel wordt niet consequent gerealiseerd. Vaak wordt de risicoanalyse opgesteld nadat het product of het proces is ontwikkeld en wordt het gebruikt voor het plannen van validatieactiviteiten.

Niveau 3: Genormaliseerd: Op dit niveau heeft de organisatie een formeel risicomanagementsysteem ontwikkeld en geïmplementeerd, vooral voor het ontwikkelen van producten en productieprocessen. Risicomanagementactiviteiten zijn een vast onderdeel van de projectplanning en de resultaten ervan worden meegewogen in de besluitvorming tijdens faseovergangen. De organisatie zet risicomanagement proactief in: dat wil zeggen risicomanagement wordt ingezet voor het initiëren van preventieve maatregelen ter voorkoming van problemen. Risicomanagement wordt systematisch ingezet om onzekerheden te identificeren en waar nodig te beheersen. Projecten worden hierdoor veel beter gepland.

De onderlinge relatie van de verschillende risicoanalyses wordt benut; het leereffect reikt verder dan de grenzen van het project. De waarschijnlijkheid, de impact en de ernst kan kwantitatief worden gemeten. Besluiten worden genomen op basis van feiten. Waar nodig worden engineering studies uitgevoerd om de mate van risico vast te stellen. Gedetailleerde maatregelen worden ontwikkeld en gedocumenteerd, en de effectiviteit van de risico beperkende maatregelen wordt gecontroleerd en geanalyseerd. Deze gegevens geven een kwantitatief begrip van de noodzaak en de mogelijkheid om de prestaties van de risico beperkende maatregelen te verbeteren. Betrokkenheid bij de risicomanagementactiviteiten is uitgebreid tot de direct betrokken deskundigen, zowel intern als extern. Informatie omtrent risico wordt op een actieve wijze gebruikt om processen binnen de organisatie te verbeteren. Omgekeerd worden praktijkervaringen vertaald naar nieuwe risico’s die moeten worden meegewogen in bestaande risicoanalyses. Risicomanagement is een continu proces.

Voor organisaties die te maken hebben met een relatief stabiele omgeving is dit meestal het hoogst noodzakelijke niveau. Organisaties die werken in een dynamische omgeving moeten risicomanagement ook op een flexibele wijze toepassen. Zij zullen doorontwikkelen naar niveau 4.

Niveau 4: Natuurlijk: Organisaties op dit niveau hebben een afgewogen benadering van risicomanagement. Risico-informatie wordt continu verzameld en actief gebruikt om het succes van projecten en de dagelijkse operationele uitvoering te verbeteren. Risico-informatie moet een toegevoegde waarde hebben voor het bereiken van de organisatiedoelen. Risicomanagement is gericht op de kwaliteit- en veiligheidsbehoefte van klanten en andere stakeholders, inclusief overheden. Risicomanagement richt zich op het inzicht krijgen in onbekende invloeden. Naast dat deze invloeden negatieve gevolgen kunnen hebben wordt ook ingezien dat hierin kansen op succes verscholen zitten. Door deze kansen te identificeren en te benutten wordt een competitief voordeel behaald.

Er is geen sprake van volledige risico-aversie, maar risico’s worden in die mate vermeden dat de organisatie het vermogen heeft om tijdig en adequaat te reageren op onverwachte omstandigheden. Bij beslissingen wordt risicomanagement in gepaste mate toegepast. De mate waarin risicomanagement wordt toegepast is afgestemd op de complexiteit en de initiële beoordeling van de gevolgen van onzekerheden op de doelstellingen. Hebben besluiten, producten of processen slechts een gering afbreukrisico, dan wordt volstaan met een beperkte gevarenanalyse. Uitvoerige risicoanalyses worden alleen toegepast als uit deze gevarenanalyse blijkt dat er potentieel onaanvaardbare risico’s zijn. Binnen projecten bestaat enige vrijheid om de meest geschikte (meest effectieve en efficiënte) tools voor risicomanagement in te zetten. Wel moet de onderlinge samenhang en de bredere inzetbaarheid van de risico-informatie worden gewaarborgd.

De organisatie richt zich ook op de onderlinge samenwerking waarin problemen worden voorkomen en tijdig worden opgelost. Men is zich bewust van het gevoel van schijnveiligheid dat met risicomanagement kan worden bereikt. Absolute zekerheid is niet het ultieme doel, maar risicobewustzijn. De organisatie wordt gekenmerkt door zelforganisatie en verantwoordelijkheid nemen, in plaats van strikte protocollen en regels. Binnen de projecten wordt vrij gecommuniceerd over risico’s en onzekerheden. Sociale netwerken en externe partijen worden ingezet om relevante informatie over onzekerheden te verkrijgen.

Analyseren van risicovolwassenheid

Om te bepalen op welk niveau de organisatie zich bevindt kan men verschillende kenmerken van risicomanagement beoordelen:

Houding ten aanzien van risico’s en onzekerheden

  • Mate van inzicht in zowel bedreigingen als kansen voor succes
  • Mate van risico-aversie en risicomijdend gedrag
  • Vrijheid tot handelen in de veranderende omgeving
  • Handelen op basis van risicobewustzijn
  • Openheid van de communicatie ten aanzien van risico’s en onzekerheden
  • Inspanning verricht voor risicomanagement is in overeenstemming met de mate van de risico’s
  • Proactieve en vroegtijdige inzet van risicomanagement bij ontwikkelingen
  • Klantgerichtheid: risico-batenanalyse
  • Risicomanagement wordt ingezet voor het creëren van waarde.

Leiderschap

  • Mandaat en toewijding van top management om risicomanagement te implementeren
  • Mate waarin blijvend in de benodigde middelen wordt voorzien
  • Er zijn door het top management beleid en procedures voor risicomanagement gedocumenteerd en gecommuniceerd
  • Er zijn door top management concrete risicocriteria geformuleerd
  • Mate van betrokkenheid van de projectmanagers
  • Mate van waardering van de betrokkenheid van medewerkers bij het signaleren van risico’s
  • Betrekken van leveranciers, aannemers, dienstverleners bij risicomanagement activiteiten
  • Mate van erkenning van de toegevoegde waarde van risicomanagement
  • Vaststellen van systeem voor het vastleggen en delen van risico-informatie
  • Openheid van delen van risico-informatie met belanghebbenden

Risicomanagement

  • Mate waarin bekende en onbekende onzekerheden worden geïdentificeerd
  • Mate waarin kennis en ervaring wordt gebruikt
  • Diepte van inzicht verkregen in oorzaak-gevolgrelaties van grondoorzaak tot uiteindelijk gevolg, inclusief samenloop van omstandigheden
  • Mate waarin risicoanalyses (waarschijnlijkheid en ernst) overstemmen met feitelijke informatie
  • Mate waarin risicoanalyses (waarschijnlijkheid en ernst) overstemmen met actuele informatie
  • Mate waarin risico-evaluatie (aanvaarding van restrisico’s) overeenstemt met de beleving van de belanghebbenden

Risicobeperking

  • Mate van bereidheid om risico beperkende maatregelen daadwerkelijk en tijdig te nemen
  • Mate waarin maatregelen zo dicht mogelijk bij de oorzaak genomen worden: voorkomen is beter dan genezen
  • Mate waarin restrisico’s worden beperkt: tot zover technisch mogelijk
  • Vaststelling van kritische controle parameters
  • Mate waarin de effectiviteit van de risico beperkende maatregelen wordt vastgesteld

Integratie met andere processen

  • Beschikbaarheid en gebruik van up-to-date risico-informatie bij besluitvorming
  • Noodzaak van corrigerende maatregelen op basis van risicomanagement
  • Vertalen van kwaliteitsproblemen en klachten naar risico’s
  • Gevolgen van product- en proceswijzigingen op risicoprofiel
  • Validatiestrategie op basis van risico’s
  • Kwaliteitsplannen op basis van risico’s
  • Supply chain management (inkoop en levering) op basis van risico’s
  • KPI’s en directiebeoordeling op basis van risico’s

Competenties

  • Mate waarin de organisatie is doordrongen van de risicomanagementprincipes
  • Geschiktheid van risicomanagementsysteem voor het beperken van de gevolgen van onverwachte omstandigheden
  • Bekendheid en bekwaamheid met risicomanagement instrumenten
  • Vermogen om het meest geschikte instrument te selecteren voor het beoogde doel
  • Ondersteuning door experts bij onvoldoende interne competentie
Advertenties

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit / Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit / Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit / Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit / Bijwerken )

Verbinden met %s

%d bloggers liken dit: