Spring naar inhoud

Probleem met risicoscores

24 december 2017

risicomanagement

Veel risicoanalyses bestaan uit het bepalen van de kans dat een schadelijke situatie voorkomt en de ernst van de gevolgen. Hieruit worden volgens een rekenkundige methode de risicoscores berekend. Risicoscores worden vaak gebruikt om op risico’s gebaseerde beslissingen te ondersteunen en worden meestal afgeleid van een semi-kwantitatieve analyse van de onderliggende risicofactoren om een enkele waarde te produceren, zoals een risicoprioriteitsnummer of score laag, gemiddeld en hoog. Deze waarde wordt vervolgens toegepast om te bepalen welke optie het meest veilig is of om te bepalen of aanvullende risico beperkende maatregelen noodzakelijk. Risicoanalyse kan als zodanig uiterst nuttig zijn om de besluitvorming te ondersteunen. Als ze echter niet correct worden geïmplementeerd, kunnen ze kwetsbaarheden introduceren die bedrijven blootstellen aan onnodig en vermijdbaar risico. In deze blog beschrijf ik 5 belangrijke problemen.

  1. Uitkomsten worden niet gevalideerd

De gekozen scores voor kans en ernst en de resulterende risicoscore worden veelal niet gevalideerd, waardoor ze niet de juiste beslissingen opleveren. Vaak wordt een eerste inschatting gemaakt van de mate van ernst en de kans op het voorkomen van de gevaarlijke situatie. Door een multidisciplinair team te betrekken is de inschatting over het algemeen redelijk betrouwbaar. Het doel van risicoanalyse is om onzekerheden in zekerheden om te zetten, zodat ze adequaat kunnen worden beheerst. Maar zekerheden kunnen alleen worden bereikt door middel van feiten. Daarom moeten uiteindelijk feiten uit de dagelijkse praktijk of uit experimentele situaties worden gebruikt voor het valideren van de eerste inschatting.

In de risicoanalyse maakt onbekend ook onbemind. Risico’s die uiterst zeldzaam zijn, worden niet erkend tijdens de risicoanalyse, maar dat betekent niet dat ze niet tot ernstige gevolgen kunnen leiden. Deze risico’s staan bekend als de zwarte zwanen. Alleen alertheid in en validatie met de dagelijkse praktijk brengt deze risico’s naar voren.

Ernst en kans worden in een numerieke waarde omgezet. De scores moeten een juiste verdeling van de resultaten genereren op basis van de inputs en de verdeling waarmee dit gebeurd moet geschikt zijn voor de rekenkundige methode. Is de schade bij een risico met een ernstscore van 2 wel werkelijk 2-3 keer zo groot als de schade bij een risico met ernstscore 5? Komt een risico met kans 5 ook vijf maal zo vaak voor als een risico met kans 1 of is het verband tussen de gekozen kanswaarde en de daadwerkelijke frequentie ook geschikt voor de risico evaluatie?

Tenslotte moet de rekenkundige methode waarmee de risicoscore wordt berekend worden gevalideerd. Welke methode je ook gebruikt, hij is altijd onjuist. Hij is hooguit geschikt voor het maken van de juiste besluiten. Deze geschiktheid moet dus voortdurend worden geëvalueerd. Hoe wordt in de rekenkundige methode omgegaan met de kans op detectie? En hoe wordt in de rekenkundige methode omgegaan met de kans op voorkomen van de gevaarlijke situatie (p1) en de kans dat de gevaarlijke situatie ook daadwerkelijk tot schade leidt (p2).

Het besluit om een risicoscore met één waarde te berekenen (waarschijnlijk om het besluitvormingsproces te vergemakkelijken) kan bijdragen tot onbedoelde resultaten. Daarom is validatie noodzakelijk. Let op: validatie is geen risicobeheersing; dat wil zeggen, het verandert niet de mate van het risico. Het is het vaststellen dat de inschatting een juiste voorspelling geeft van het risico dat je loopt en dat het geschikt is voor het nemen van strategische besluiten.

  1. Risicoscores zijn niet gekalibreerd

Een risicoanalyse bestaat uit het analyseren van vele faalmodi of gevaarlijke situaties. Voor meerdere productontwerpen worden deze risicoanalyses uitgevoerd. Maar de onderlinge consistentie tussen en binnen de risicoanalyse wordt zelden gecontroleerd. Consistentie kan worden bereikt door het opstellen van een schade-ernst lijst (harms list), waarbij aan een specifieke schade een ernstscore wordt toegekend. Wanneer in een analyse wordt beoordeeld dat een gevaarlijke situatie tot een bepaalde schade kan leiden, dan wordt de ernst aan de hand van deze schade-ernst standaard gescoord. Werken met productgroepen die risicoanalyses delen of delen van risicoanalyses delen helpt ook voor de onderlinge consistentie. Voor complexe analyses moet de keuze om specifieke software voor het ondersteunen van de risicoanalyse aan te schaffen worden overwogen.

  1. Risicoscores zijn niet afgestemd op de risicohouding

Risicoscores zijn niet afgestemd op de risicohouding (risicobereidheid en -tolerantie) van de organisatie. De Committee Of Sponsoring Organizations of the Treadway Commission (COSO) definieert risicobereidheid als “De mate van risico, op een breed niveau, die een entiteit wil accepteren in het streven naar waarde. Het reflecteert de risicomanagement filosofie van de entiteit, en beïnvloedt de cultuur en stijl van functioneren in de entiteit. … Risicobereidheid bepaalt de allocatie van middelen. … Risicobereidheid helpt de organisatie in het richten van de organisatie, mensen en processen op het ontwerpen van de infrastructuur die nodig is om effectief op risico’s te reageren en deze te monitoren.” Risicotolerantie wordt door COSO geduid als de toepassing van risicobereidheid op specifieke doelstellingen.

Het gebruik van de score moet consistent zijn met de risicohouding van de organisatie. Het kiezen van een optie met hoog risico zou bijvoorbeeld niet acceptabel zijn als de risicotolerantie voor de organisatie laag is. Helaas is de risicobereidheid vaak niet een strategische keuze, maar meer een financiële keuze. Daarnaast zie je nagenoeg altijd dat binnen bedrijven de kwaliteitsafdeling een lage risicobereidheid heeft, terwijl operationele afdelingen een hoge risicobereidheid hebben. Je ziet alleen zelden dat hierover een feitelijk gesprek wordt gevoerd, zodat uiteindelijk op basis van de juiste argumenten een strategische keuze kan worden gemaakt. Meestal blijft het als frustratie doorsudderen.

  1. Risicoscores met één waarde leveren suboptimale resultaten op

Het gebruik van een risicoscore met één enkele waarde kan leiden tot een suboptimaal strategisch besluit. Ernst en kans laten zich niet simpelweg rekenkundig vermenigvuldigen. Een risico met een ernst van 5 en een kans op voorkomen van 1 hoeft niet gelijk te zijn aan een risico met een ernst van 1 maar een kans op voorkomen van 5, maar is dat rekenkundig wel: in beide gevallen is de risicoscore 5. Veel bedrijven hanteren daarom een risicomatrix waarin de ernst en de kans in een kruistabel worden uitgezet. Voor elke combinatie wordt bepaald of de risicoscore laag, middel of hoog is. De keuzes die worden gemaakt bij het opstellen van de tabel moeten ook worden gevalideerd en afgestemd tegen de risicobereidheid.

Een andere zorg is dat de risicoscore niet geschikt is voor alle domeinen waarin ze wordt gebruikt, zoals het kiezen van de optimale portfolio van projecten, investeringen of initiatieven voor procesverbetering. Naarmate het op risico gebaseerde denken meer ingebed raakt in de organisatie, zal het waarschijnlijk ook meer ingebed raken in de beslissingsondersteunende systemen. Het mogelijk dat de selectie voor een belangrijk deel wordt gebaseerd op de risicoscore verkregen uit de supply chain risk analysis. Het gebruik van informatietechnologie bevordert deze geautomatiseerde ondersteuning van besluitvorming. Beslissingnemers kunnen te veel leunen op het geautomatiseerde systeem voor het maken van de strategische keuze. De neiging bestaat om het resultaat van een geautomatiseerd besluitvormingssysteem te prefereren boven het gebruik van tegenstrijdige informatie die wordt genegeerd in het systeem. Het automatiseren van het besluitvormingsproces kan vervolgens resulteren in beslissingnemers die afstand doen van hun verantwoordelijkheid en dus ook de aansprakelijkheid voor de beslissing. Dat betekent dat men hooguit zal proberen om het systeem te verbeteren in plaats van de menselijke factor in het systeem. Degenen die op het gebied van veiligheid werken, weten dat je veiligheid (of beslissingen daarover) niet kunt delegeren aan een computersysteem.

  1. Risicoscores zijn onethisch

Risicogebaseerde beslissingen behoren vanwege hun inherente onzekerheid tot de categorie van ethische beslissingen die een bedrijf neemt en kunnen niet gemakkelijk (of helemaal niet) worden teruggebracht tot een reeks regels. Als het risico volledig kan worden geëlimineerd door de risico beperkende maatregelen, kunnen op regels gebaseerde beslissingen gegrond zijn. Maar meestal blijft er een restrisico bestaan en wordt de beslissing om door te gaan een ethische keuze.

Organisaties moeten de verantwoordelijkheid voor ethische beslissingen niet overdragen naar een algoritme of een beslissingsondersteunend systeem. Risicomanagement is vaak een vereiste in wet- en regelgeving, maar het is uiteindelijk gebaseerd op de ethische normen en richtlijnen van het bedrijf. Hiervoor is de directie verantwoordelijk en zijn alle uitvoerenden betrokken.

No comments yet

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit /  Bijwerken )

Google photo

Je reageert onder je Google account. Log uit /  Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit /  Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit /  Bijwerken )

Verbinden met %s

Deze site gebruikt Akismet om spam te bestrijden. Ontdek hoe de data van je reactie verwerkt wordt.

%d bloggers liken dit: