Het is zo’n eenvoudige vraag, waarop heel veel antwoorden mogelijk zijn: ‘Welk model voor risicomanagement kan ik het beste toepassen?’ Of: ‘Welke risicomanagementmodellen zijn er?’ Veel antwoorden, omdat er zo veel modellen, raamwerken, standaarden en methoden voor risicomanagement zijn. Vrijwel elke discipline heeft er wel een fors aantal. Toch blijkt er in de praktijk maar één juist antwoord op te geven. Dit is tegelijkertijd een ontnuchterend antwoord: er is namelijk maar één risicomanagement model.
Veel risicomanagement modellen
Een Delftse hoogleraar wist me een paar jaar terug te vertellen dat hij meer dan zevenhonderd modellen voor risicoanalyse en risicomanagement in kaart had gebracht. Ik heb ze niet nageteld, maar dat het er veel zijn behoeft weinig toelichting. Vrijwel elke vakgebied heeft z’n eigen versies, denk aan de wettelijk verplichte RI&E voor Arbo-veiligheid. Daarnaast zijn er de algemene modellen, raamwerken, standaarden en methoden. In Nederland worden voor risicomanagement bijvoorbeeld COSO, ISO, INK, Lean Six Sigma, COBIT, IRM, ALARM, Management_of_Risk en RISMAN benut. Hoe hier pragmatisch mee om te gaan?
Drie risicomanagement modellen
Laten we drie algemene modellen voor risicomanagement eens nader beschouwen:
- COSO Enterprise Risk Management,
- de ISO 31000 richtlijn voor risicomanagement
- en de RISMAN methode.
Deze drie worden in Nederland toegepast in allerlei soorten organisaties, publiek, semipubliek, bedrijven en projecten. COSO en ISO zijn in 2017 en 2018 fors vernieuwd, RISMAN is al wat ouder.
Zijn er verschillen?
Zijn er wezenlijke verschillen? Ze starten alle drie met doelen. Vervolgens brengen ze risico’s in kaart en worden die op de een of andere wijze gewogen. Dit leidt tot het kiezen van maatregelen, beoordeling of die werken, communicatie en iets van rapportage. Conclusie: in wat andere woorden zeggen ze hetzelfde.
Toch niet helemaal overtuigd? Dan verwijs ik je graag naar het whitepaper Risico is geen probleem. Hierin zijn de drie modellen in één tabel broederlijk naast elkaar weergeven. Vergelijk ze zelf en zoek de relevante verschillen. Ik zie ze niet. En, voor zover ik het kan overzien, is dit óók het geval voor de overige modellen, standaarden en methoden op het gebied van risicomanagement. Dit biedt perspectief.
Eén risicomanagement model
Wat betekent dit? Goed nieuws. Vanuit de besproken risicoraamwerken, en heel veel (inter)nationale soortgenoten, is namelijk één overkoepelend model voor risicomanagement af te leiden. Dit algemeen toepasbare model bestaat uit zes risicostappen:
- Risicostap 1 – Doel(en) bepalen, vanuit de context.
- Risicostap 2 – Risico’s identificeren: wat zijn ze?
- Risicostap 3 – Risico’s classificeren: hoe klein of groot zijn ze?
- Risicostap 4 – Omgaan met risico’s: al dan geen maatregelen nemen.
- Risicostap 5 – Maatregelen op effectiviteit en efficiëntie evalueren.
- Risicostap 6 – Over stap 1 t/m 5 communiceren en rapporteren.
De essentie: los van al die ogenschijnlijk verschillende modellen, raamwerken, standaarden en methoden, risicomanagement bestaat steeds weer uit zes algemeen toepasbare risicostappen. Het is de bedoeling dat deze stappen achtereenvolgens worden doorlopen, met een mate van detail waar de situatie om vraagt. Dat kan dus nogal verschillen, afhankelijk van de sector, de context en de aard van de risico’s.
Zes stappen toegelicht
Een korte toelichting, om de zes risicostappen en hun relaties te verhelderen. Dit start met de hedendaagse risico-definitie uit COSO en ISO: Risico is het effect van onzekerheid op een doel. Vanuit deze risico-definitie kunnen risico’s, naast de gebruikelijke negatieve gevolgen, ook positieve effecten op doelen hebben, en zo kansen of opportunities bieden. Vergeet dat niet.
Risicostap 1
Deze risicodefinitie verklaart risicostap 1: bepaal je doel. Beschouw relevante doelen in de meest brede betekenis van het woord. Doelen variëren van strategische doelen, via afdelings- en teamdoelen, tot doelen op consument-, cliënt- of patiëntniveau. Ook eisen of verwachtingen zijn een soort doelen. Beschouw ook de context van de doelen, evenals de belanghebbenden bij die doelen.
Risicostappen 2 en 3
Voor het identificeren van risico’s – risicostap 2 – zijn allerlei werkwijzen gangbaar, van literatuuronderzoek en checklists tot deep dive brainstorm sessies. Het classificeren van risico’s – risicostap 3 – kan kwalitatief, in grote en kleine risico’s, of in kans- en gevolgklassen. Risico-classificatie kan ook kwantitatief, mits betrouwbare cijfers voorhanden zijn. Bij risico-classificaties spelen verschillen in risicoperceptie vaak een (onbewuste) rol, onderschat ze niet.
Risicostap 4
Het omgaan met risico’s vormt risicostap 4. Bij het al dan niet nemen van maatregelen, om de kans en/of gevolgen te beïnvloeden, is de risicobereidheid van de betrokkenen van belang: is een risico acceptabel of niet? Welke inspanning en kosten zijn redelijk om een risico te beperken? Als dat al kan. Ook bewust risico’s nemen is overigens onderdeel van omgaan met risico’s. Niet zelden is dit nodig om een ambitieus doel te kunnen realiseren.
Risicostap 5
Bij de evaluatie – risicostap 5 – wordt nagaan of al dan niet genomen maatregelen het beoogde effect hebben, wat kan leiden tot minder of juist tot meer maatregelen. Ook wordt beschouwd of er nieuwe risico’s opdoemen, en of classificaties moeten worden aangepast. Bijvoorbeeld op basis van recente informatie of gewijzigde percepties van de publieke opinie.
Risicostap 6
De laatste stap – risicostap 6 over communicatie en rapportage – is niets anders dan bijvoorbeeld een mondelinge risico-toelichting tijdens een werkoverleg, of een korte risico-rapportage in de maandrapportage van een afdeling of project. Zo simpel kan het zijn.
Risicomanagementcyclus
De zes risicostappen vormen samen een cyclus: de universele risicomanagementcyclus: na stap zes volgt stap één, met een herijking van doelen en context. In de praktijk blijkt deze risicomanagementcyclus vrij makkelijk in te voegen in al bestaande managementcycli. Voorbeelden zijn de planning en control cyclus of de rolling forecast, tweewekelijkse sprints in een agile of scrum programma, of de verbetercyclus van bijvoorbeeld kwaliteitsmanagement. Ook kunnen de risicostappen worden uitgevoerd in vrijwel elk bestaand of nieuw werkproces, programma of project. Denk bijvoorbeeld aan strategievorming, innovatieprogramma’s, of IT projecten. Het expliciet en gestructureerd toepassen van de zes risicostappen in ‘dat wat er al is’, dat is niets anders dan risicogestuurd werken.
Risicomanagement modellen samengevat
Zowel in Nederland als internationaal zijn er zeer veel risicomanagement modellen, raamwerken, standaarden en methoden in omloop. Hiermee is risicomanagement makkelijk ontoegankelijk en onnodig moeilijk te maken. Je ziet dan door de bomen het bos niet meer. Uit een vergelijking volgt dat de meeste risicomanagementbenaderingen op hetzelfde neerkomen. Ze zijn samen te vatten in één model, dat bestaat uit een cyclus van zes opeenvolgende stappen. Wil of moet jij binnenkort iets met risicomanagement modellen? Ga dan snel van véél, via drie, naar één algemeen toepasbaar model: benut de zes algemene risicostappen en doe dáár je voordeel mee.
Door: Martin van Staveren
Dr. Martin van Staveren staat voor anders omgaan met onzekerheden, risico’s en kwaliteit. Hij promoveerde op het proefschrift Risk, Innovation & Change. Vanuit risicobureau VSRM adviseert hij organisaties in allerlei sectoren over realistisch en werkbaar risicomanagement. Ook is hij kerndocent aan de Executive Masteropleidingen Risicomanagement en Public Management, Universiteit Twente. Hij is auteur van de boeken Risicogestuurd werken in de praktijk en Risicoleiderschap: doelgericht omgaan met onzekerheden.
