Het leuke van opleidingen en workshops is de diversiteit aan vragen van deelnemers. Soms belandt zo’n prikkelende vraag weken later in m’n mailbox. Zoals een vraag over het bepalen van de kansen of waarschijnlijkheden van risico’s. Deze was ontstaan vanuit de wens van management teamleden, om daar één rekenformule voor te kunnen benutten. Wishful thinking? En wat doe je daar aan, als interne of externe adviseur?
Een adviseur operational control & risk van een zorgverzekeraar mailde me het volgende: “Voor het bepalen van de kans van een risico gebruiken wij een heat map. Ik krijg de laatste tijd veel vragen vanuit het MT over hoe nu het beste de kans bepaald kan worden. Dit vind ik best lastig, aangezien een aantal MT leden het liefst graag een formule gebruikt om de kans te berekenen.” Mooie vraag. Eerst iets over de heat map. Dat is een kans-gevolg diagram. Op één as staat de kans van optreden van een risico. Op de andere as staan de gevolgen bij optreden. Vaak zijn er drie of vijf kansklassen en evenveel gevolgklassen. De wat geavanceerdere versie onderscheidt diverse gevolgen, bijvoorbeeld op het gebied van veiligheid en financiën. Soms zijn de kans- en gevolgklassen beschrijvend van aard, met woorden die variëren van zeer klein tot zeer groot. Andere organisaties kwantificeren de kansklassen, bijvoorbeeld door voor een kleine kans van optreden een waarschijnlijkheid tussen de 1 % en 5 % aan te houden. Deze percentages kunnen overigens twee betekenissen hebben: een frequentie in zoveel procent van de gevallen, of een frequentie per tijdseenheid. De populariteit van de heat map of risicomatrix stijgt, onder andere omdat in de herziene Nederlandse Corporate Governace Code uit 2016 het expliciet maken van risicobereidheid is opgenomen. Onder Principe 1.2 – Risicobeheersing – van deze code voor beursgenoteerde organisaties wordt immers het volgende gesteld: “Zij (lees het Bestuur) stelt de risicobereidheid vast en besluit welke maatregelen tegenover de risico’s worden gezet.” Door de verschillende velden in de risicomatrix van een kleurcode te voorzien, meestal van groen, via geel en oranje naar rood, kan worden aangegeven welke risico’s al dan niet acceptabel zijn en maatregelen vergen. Dit alles staat of valt dus met de wijze en betrouwbaarheid van het inschatten van kansen of waarschijnlijkheden van risico’s, dé vraag waar de adviseur mee worstelt. Een fijn wenselijk antwoord is op deze vraag helaas niet te geven. De wens van managers om een risicokans te berekenen herken ik, hoor ik ook nogal eens, is best begrijpelijk, én is meestal niet realistisch. Dé manier om een kans te schatten bestaat namelijk niet. Onder meer omdat dit sterk afhankelijk is van het type risico en de beschikbare informatie. Dé manier om de kans van optreden van een risico te berekenen bestaat al helemaal niet. Dit zijn echo’s uit een ver verleden, uit de tijd van ene Frank Knight, waar we nog steeds last van hebben. Dit was een econoom, die in z’n proefschrift uit 1921 het inmiddels volledig achterhaalde onderscheid maakte tussen risico en onzekerheid: risico is te berekenen, onzekerheid niet. Met de ISO 31000 definitie van risico als effect van onzekerheid op doelen, en een soortgelijke definitie in het herziene COSO-ERM framework, is deze benadering écht voltooid verleden tijd. Alleen met voldoende en betrouwbare informatie zijn allerlei statistische methoden en benaderingen te benutten voor het berekenen van waarschijnlijkheden van risico’s. Big data kan hier uiteraard een nuttige rol in spelen. Een zorgverzekeraar zal voor bepaalde operationele verzekeringsrisico’s dergelijke data kunnen benutten, en de bijbehorende kansen dus wel degelijk kunnen berekenen. Echter, voor bijvoorbeeld strategische risico’s is dit lastig, en waarschijnlijk onmogelijk. Voor dergelijke risico’s is de benodigde informatie er niet, te beperkt, en / of onbetrouwbaar. Dan komt het aan op inschattingen van ervaringsdeskundigen – de educated guess van vakmensen – waarbij subjectiviteit en bias onvermijdelijk zijn. Terug naar de hoofdvraag: wat hieraan te doen? Een eerste en essentiële stap voor alle betrokken managers is bewustwording over de realiteit van risico’s. De illusie verlaten, dat het classificeren van risico’s op basis van kansen en gevolgen een harde wetenschap is. Dit vereist basiskennis over en inzicht in begrippen als onzekerheid, risico en risicoperceptie. Kennis, die door nogal wat managers wel overtuigend wordt geveinsd, maar er na enig doorvragen niet blijkt te zijn. Au. Hier kan de adviseur hulp en troost bieden. Een tweede stap, voor de iets langere termijn, is het organiseren van diversiteit. Hiermee kan je (te) eenzijdige risicopercepties onschadelijk maken, doordat verschillen in percepties aan de oppervlakte komen. Een grote valkuil bij dit alles is het risicogesprek maar niet aan (durven) gaan. De risicobereidheid van de organisatie blijft dan onuitgesproken. Dit is niet alleen strijdig met de eisen vanuit de herziene Corporate Governance Code. Anno 2017 moeten we dit gewoon niet meer willen. Dus, pak die kansen, om wat aan de risicokans te doen. Door: Martin van Staveren
Dr. Martin van Staveren staat voor anders omgaan met risico’s. Vanuit risicobureau VSRM adviseert hij allerlei soorten organisaties over realistisch risicomanagement. Hij is ook kerndocent aan de executive masteropleidingen Risicomanagement en Public Management, Universiteit Twente. In 2015 verscheen zijn boek Risicogestuurd werken in de praktijk bij uitgeverij Vakmedianet.
