Spring naar inhoud

Voor en nadelen van de risicomatrix

8 augustus 2021

risicomanagement

In de afgelopen jaren zijn risicomatrices, ofwel heatmaps, een zeer populair hulpmiddel voor het beheersen van risico’s geworden. Door meerdere opinieleiders op het gebied van risicomanagement worden ze bekritiseerd. Zij vinden de matrices op zijn best ‘misleidend’ en, in het ergste geval, ‘nutteloos’. Wat is er aan de hand met risicomatrices.

Zoals we allemaal weten, is een risico een gebeurtenis die al dan niet kan plaatsvinden en, als het toch gebeurt, een effect zal hebben op de doelstellingen. Het heeft daarom twee elementen:

  • De kans dat het gebeurt
  • De grootte van de impact als het gebeurt, ook wel ernst genoemd

Heatmaps plotten de kans dat er iets gebeurt tegen de grootte van de impact in een matrix. Elke as is opgesplitst in een aantal secties. Elke sectie krijgt een term. Onderzoek heeft uitgewezen dat alle senior managers de termen: laag , gemiddeld , hoog begrijpen en in oplopende volgorde kunnen plaatsen. Dit levert het raster op van 3×3. Maar een matrix van 3×3 is erg grof voor een goede besluitvorming. De 9 risicocategorieën passen gevoelsmatig niet bij wat nog wel en wat niet meer acceptabel is. Dat is dan weer een probleem voor de managers. Dus worden de assen opgedeeld in meer dan 3 termen. Bijvoorbeeld voor kans: nooit, zelden, onwaarschijnlijk, mogelijk, waarschijnlijk, vaak, zeker. Of wat dacht je van de volgende termen voor ernst: verwaarloosbaar, onbeduidend, matig, serieus, catastrofaal. Hoe meer secties, hoe onwaarschijnlijker het is dat iemand de termen voldoende begrijpt om het verschil tussen 2 secties te kunnen uitleggen. Sommige mensen beschouwen mogelijk als minder waarschijnlijk dan onwaarschijnlijk , maar de kans dat dit van invloed is op beslissingen over risicobeheer is zeldzaam. Dat is serieus ernstig. Ik hoop dat u het nog begrijpt.

risicomatrix2

Aan elke categorie wordt vaak een numerieke score toegekend. Er worden hele getallen gebruikt, beginnend bij 1 en oplopend voor elke categorie zoals bijvoorbeeld: Laag = 1, Gemiddeld = 2, Hoog = 3. De scores voor de kans en gevolg worden vervolgens gecombineerd om een risicoscore te krijgen voor elk vierkant in het raster. De twee opties zijn optellen en vermenigvuldigen. Beide worden gebruikt. Omdat het voor de risico gebaseerde besluitvorming niet uitmaakt welk systeem wordt gebruikt, wordt vermenigvuldiging aanbevolen. Het is iets ingewikkelder dan optellen, maar het is consistent met de algemene risicobeoordeling als: Risico = Kans x Gevolg. Maar het levert wel de suggestie op dat een risico met een lage kans (1) op ernstige gevolgen (3) hetzelfde risico (3) oplevert als een hoge kans (3) op geringe gevolgen (1). En ook dat dit risico geringer is dan een risico (4) met een gemiddelde kans (2) op een gemiddelde ernst (2). Met andere woorden de indeling van de as is een attributieve indeling en niet een variabele indeling langs een kwantitatieve as. Je kunt er niet mee rekenen. Sommige bedrijven lossen dit op door elke sectie een gewogen waarde mee te geven, bijvoorbeeld 1,2, 4, 7 en 10 bij een as verdeeld in 5 sectoren. Maar dat lost het probleem maar gedeeltelijk op.

En waarom is er geen ernst van -1 of zelfs -5. Waarom moet het gevolg altijd negatief zijn. Volgens ISO 31000 gaat het om de onwaarschijnlijkheid van de gevolgen, maar kunnen onverwachte situaties ook nieuwe mogelijkheden, kansen, bieden. Als je die laat liggen heb je in ieder geval weer een gemiste kans, die je weer op een schaal van toenemende negativiteit kunt scoren.

De keuze voor de sectie is vaak een inschatting en niet een keuze die wordt gemaakt op basis van meetbare feiten. Voor kans zou men de frequentie van voorkomen nog kunnen uitdrukken in het aantal keer per tijdseenheid of het aantal keer per aantal gefabriceerde producten, maar ook dat blijkt lastig. Als een tekortkoming voorkomt, dan komt het vaak voor bij alle producten in de aangedane productiepartij, dus partijgrootte speelt een rol. En als je niet oplet, dan ben je 3 partijen verder voordat je de fout ontdekt. Toch heb je maar met 1 oorzaak te maken, die maar 1 keer is voorgekomen. Per tijdseenheid is ook weer lastig, want als je een bepaald product een tijd niet maakt, dan is de daadwerkelijk kans op een fout in die periode nul (0). En als de verkoop plots enorm toeneemt, bijvoorbeeld omdat je mondmaskers fabriceert, dan wordt de kans op een fout per tijdseenheid groter, terwijl je niet meer beheersmaatregelen neemt. En dan nog. Als je inschat dat een fout maar 1 keer in de 2 jaar voor komt, hoe lang heb je dan nodig om je keuze te baseren op feiten. Daarnaast weten we dat beginnersfouten vooral, de term suggereert het al, in het begin voorkomen. Maar ook wordt men lakser in beheersmaatregelen die om discipline vragen, wat tot een toename in fouten leidt. De indeling zul je dus wel moeten maken op de bodem van de badkuip.

Een meetkundige indeling in ernst is zelden mogelijk. Bedrijfsrisico’s wil men nog wel eens indelen in faalkosten, maar wie kent de daadwerkelijke faalkosten van een fout. Heldere definities formuleren voor de secties langs de ernst as is vaak een enorme uitdaging.

Ten slotte, om in de matrix duidelijk te maken welke risico’s groter en welke kleiner zijn, wordt een kleurenschema toegepast. Het meest voorkomende kleurenschema is het rood, geel, groen systeem, bekend als de kleuren die worden gebruikt bij verkeerslichten. In tests begreep 93% van de managers rood = stoppen en 100% begreep groen = gaan . Dit lijkt goed nieuws. Het oranje gebied is iets problematischer. 23% van de ondervraagde managers was van mening dat oranje stoppen betekende, 47% van de managers geloofde dat het ging als je er niet op gepakt kunt worden , en 2% van de managers geloofde dat het, net als in het verkeer, gewoon gaan betekende, al dan niet met een extra dot gas. Dit wordt risicobereidheid (of omgekeerd, risicoaversie) genoemd en is een fundamenteel onderdeel van het gebruik van risico-informatie voor besluitvorming.

Maar is groen wel gaan. Binnen de groene categorie liggen zowel risico’s die met de laagste frequentie voorkomen, als risico’s die met een hogere (of zelfs de hoogste frequentie) voorkomen. Voor de laatste groep is misschien nog wel risicoreductie mogelijk, maar groen werkt als een rood stoplicht voor het nemen of zelfs overwegen van beheersmaatregelen. Zelfs voor het risico in de laagste kans sectie, zijn soms nog beheersmaatregelen mogelijk. De Europese medische hulpmiddelen verordening vereist dat wanneer er risico beperkende maatregelen mogelijk zijn, dat je deze ook moet nemen (ongeacht de kosten). Dus feitelijk bestaat groen helemaal niet, alleen maar geel: beoordelen of het risico zo laag als mogelijk is gereduceerd. Je moet daarbij wel de restrisico’s beoordelen, dus de risico’s nadat beheersmaatregelen getroffen zijn.

Ook de indeling van de matrix in rode, gele en groene vlakken is niet willekeurig, of zou dit niet moeten zijn. Weer even terug naar medische hulpmiddelen. Voor een medisch hulpmiddel als een pleister accepteer je niet dat er een levensbedreigende situatie ontstaat. Maar voor een medisch hulpmiddel dat wordt toegepast voor levensreddende behandeling (bijvoorbeeld een dotter canule) kan een levensbedreigende situatie waarvan de kans op voorkomen onwaarschijnlijk is toch worden geaccepteerd. Met andere woorden, risicoacceptatie hangt af van de baten van het product. Een fenomeen dat door sommigen moeilijk te bevatten is. Kijk maar hoe politici, en voor- en tegenstanders van vaccinatie met de risico’s van het vaccin of het Coronavirus omgaan.

Hetzelfde voorbeeld geeft ook aan dat besluitvorming op basis van feiten bij risicomanagement nagenoeg onmogelijk is. Is er voldoende onweerlegbaar bewijs om van een mening een feit te maken? Bronnen die elkaar tegenspreken. Hoe moet je een keuze maken tussen de kans onwaarschijnlijk of mogelijk als het waarschijnlijk is dat de gegevens onvolledig of onjuist zijn. Binnen bedrijven zorgt men er daarom voor dat het team dat de risicoanalyse uitvoert multidisciplinair is. De politiek heeft gekozen voor het OMT.

Veel risicoregisters worden uitgevoerd in Excel en opgeslagen op de pc van de risicomanager. Ze worden nog wel goedgekeurd door het management die al lang blij is met het eindoordeel dat geen verdere beheersmaatregelen nodig zijn. Hoe dan ook, de risicomanager is beter dan wie dan ook op de hoogte van de risico’s op elk gebied van het bedrijf. Jammer is alleen dat hij niet de strategische besluiten neemt waarbij de mogelijke risico’s in acht genomen moeten worden of zelfs maar daarbij aanwezig is. Risicomanagement is een verplicht nummertje om het ISO certificaat te behalen, maar heeft verder geen beleidsfunctie. Ook is de risicomanager niet de uitvoerende die dagelijks met de risico’s te maken krijgt. Weet een operator op de productievloer wat voor risico het bedrijf of de gebruiker van het product loopt als hij op een vrijdagmiddag het een keer niet zo nauw neemt met die onmogelijke werkinstructie. Het gaat toch nooit fout. Alleen de risicomanager weet dat dat eens in de 1000 keer wel het geval is. En omgekeerd, heeft hij er bij de risicoanalyse ook rekening mee gehouden hoe vaak het vrijdagmiddag is.

Als laatste dan nog het totaal aantal risico’s, of beter het totaal van de risicoscores, voor een betreffend product of bedrijfsproces. Een risicomatrix zegt hier helemaal niets over. Vergelijk het met het bouwen van een huis. Elke aannemer heeft in principe te maken met dezelfde risico’s. Maar de ene aannemer levert het huis met minder opleverpunten op dan de ander, omdat hij meer aan risicobeheersing doet dan de ander. Daarom kiezen wij ook altijd voor de goedkoopste aannemer en eist de politiek ook dat risicovolle projecten worden aanbesteed. Sommige bedrijven vermelden daarom in de matrix hoeveel risico’s per veld zijn geïdentificeerd. Maar daar is de heatmap oorspronkelijk niet voor bedoeld.

Je kunt nu eenmaal niet op alle slakken zout leggen. Die hoeveelheid zout is niet te bekostigen. Sommige bedrijven kijken alleen naar de top 10 (of top 5, of top wat dan ook) risico’s met de hoogste risicoscore. Wat maakt het dan nog uit of je 50 of 1000 risico’s hebt geïdentificeerd? Als je de belangrijkste maar te pakken hebt. Alles wat buiten de top 10 valt, is acceptabel toch? Wat zou het als je met het voorkomen van de top 10, 10% of slechts 0.5% van de totale som aan risicoscores hebt gereduceerd? En dan zit er nog een adder onder het gras, of eigenlijk een zwart zwaan. We benoemen alleen de risico’s die we kennen of die we logischerwijs kunnen verwachten. En waar hebben we uiteindelijk het meest last van: de dingen die we niet zagen aankomen. Hoe minder tijd je besteed aan de risicoanalyse en hoe minder disciplines er deelnemen aan de risicoanalyse, hoe waarschijnlijker het is dat je wordt getroffen door risico’s die je niet zag aankomen. De matrix biedt dus alleen maar schijnveiligheid.

Hoe je risicomanagement ook inricht, het blijft een gok of je voldoende aandacht hebt besteed aan alle risico’s. De risicomatrix kan best een handig hulpmiddel zijn, maar als je de context ervan onvoldoende begrijpt loop je het risico dat je kansen om fouten te voorkomen misloopt.

No comments yet

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit /  Bijwerken )

Google photo

Je reageert onder je Google account. Log uit /  Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit /  Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit /  Bijwerken )

Verbinden met %s

Deze site gebruikt Akismet om spam te bestrijden. Ontdek hoe de data van je reactie verwerkt wordt.

%d bloggers liken dit: