Met behulp van dit document en de bijbehorende vragenlijst kan worden vastgesteld op welke manier risicomanagement het best kan worden toegepast binnen een organisatie. De vragenlijst is bedoeld voor iedere manager of staffunctionaris die de inzet van risicomanagement in zijn of haar organisatie overweegt.
Risicomanagement kan door een persoon in verschillende rollen worden toegepast. Tevens geldt dat risicomanagement van toepassing is op verschillende aspectgebieden. Deze rollen, met hun kenmerkende verantwoordelijkheden en bevoegdheden, en de aspectgebieden met hun eigen specifieke kenmerken bepalen op welke wijze risicomanagement kan worden ingezet en bepalen daarmee ook direct en indirect de resultaten die kunnen worden behaald. Het is belangrijk om voorafgaand aan de toepassing van risicomanagement vast te stellen: Wie moet het doen, wat moet er worden gedaan, en hoe moet het worden uitgevoerd? Dit document geeft een praktische handreiking bij de vaststelling van de manier waarop risicomanagement moet worden toegepast binnen een organisatie.
Risicomanagement
Risicomanagement is het proces van identificeren en analyseren van risico’s en vervolgens het ontwerpen en implementeren van maatregelen om de kans van optreden van de risico’s te verminderen, oftewel om de schade, veroorzaakt door de risico’s, te minimaliseren.
Risicomanagement is een in hoge mate gestandaardiseerd proces dat in alle gevallen de stappen: inventariseren, analyseren, maatregelen nemen, bewaken kent. Het is in die zin goed vergelijkbaar met de keten: plan-do-check-act, zoals deze in de kwaliteitsliteratuur is ontwikkeld.
Risico
Risico’s zijn gebeurtenissen of situaties die al dan niet kunnen optreden (kans!) en die bij optreden schade veroorzaken aan het object van risicomanagement.
Object van risicomanagement
Het object van risicomanagement is hetgeen waarvoor een manager verantwoordelijkheid draagt. Dit object kan een project of programma zijn, maar ook een (bedrijf)proces, een positie (b.v. imago), een product of een combinatie daarvan. Bijvoorbeeld ISPL kent een risicomanagement proces waarin sprake is van het managen van risico’s van de staande organisatie (binnen ISPL bijvoorbeeld wordt dit het doeldomein genoemd) en de projectorganisatie (binnen ISPL het projectdomein genoemd).
Opmerking: in het algemeen geldt dat risicomanagement dicht tegen kwaliteitsmanagement aanligt, daar waar het gaat om de bepaling van de kwaliteit van het object. Hierbij wordt gebruik gemaakt van normstelling, waarbij wordt getoetst in hoeverre het object voldoet aan bepaalde vastgestelde normen (bijvoorbeeld voortkomend uit wettelijke vereisten of “best practices”).
Risicomanagement heeft altijd betrekking op een bepaald object (een project, programma, proces, positie, product etc). Elk van deze objecten kent een generiek onderdeel en een specifiek onderdeel. Zo kent bijvoorbeeld het object “IT-project” een generiek onderdeel (project) en een specifiek onderdeel (IT). Analoge redeneringen gelden voor een infrastructuurproject of bijvoorbeeld voor een administratief proces bij een bank.
Een IT-project kent daarmee twee aandachtsgebieden voor het risicomanagement, en het is van belang om duidelijk vast te stellen welke van de aandachtsgebieden moet worden beschouwd (of misschien dat beiden aan de orde moeten komen). De aandachtsgebieden bepalen namelijk welke informatie zal moeten worden verzameld en verwerkt in het risicomanagement proces. Dit bepaalt mede de benodigde kennis, de rol en de positie van de persoon (of personen) die zich bezig houden met risicomanagement.
Risicomanagement kan altijd en overal worden toegepast waar een situatie ontstaat die door onzekerheid of onduidelijkheid (bijvoorbeeld als gevolg van complexiteit) onbeheersbaar is of dreigt te worden. In de regel zal dit het geval zijn bij projecten of programma’s (vanwege het nieuwe karakter van een project of programma zal daar altijd sprake zijn van onzekerheid en daarmee ook van risico), maar ook bij complexe bedrijfsvoeringprocessen en bij processen waarbij geldt dat fouten daarin onaanvaardbare gevolgen kunnen hebben voor de organisatie of haar omgeving (b.v. kerncentrales).
In het kort wordt hier een overzicht gepresenteerd van het risicomanagement proces zoals dat in het algemeen door verschillende organisaties en methoden als standaard wordt geaccepteerd.
Risicomanagement kan door een individu in verschillende rollen worden toegepast. We onderkennen de volgende rollen:
De Auditor
Controle, meestal achteraf of soms tijdens, sterk normatief, adviserend, geen bevoegdheden tot het uitvoeren van risicobeperkende maatregelen, wel mogelijkheid tot het voorstellen van maatregelen. Vrijwel altijd in de vorm van onderzoeken, waarbij gebruik wordt gemaakt van vragenlijsten en interviews.
-Deze rol komt vaak voor bij projecten die in ernstige tijd en/of geld problemen verkeren of wanneer het topmanagement van een organisatie inzicht wil hebben in de mate van beheersing van de processen van de organisatie. Dit soort risicomanagement wordt vaak uitgevoerd door of in samenwerking met EDP-auditors, Interne Controle en (interne of externe) Accountantsdiensten.
De Manager
Integraal actief, dat wil zeggen dat het volledige traject van risicomanagement onder de verantwoordelijkheid van de manager valt. Gericht op directe toepassing en gebruik van de kennis in de dagelijkse gang van zaken; dat kan een project zijn, maar ook een of meerdere bedrijfsprocessen waarvoor deze manager verantwoordelijk is. Continue activiteit, vaak verbonden met de manieren van rapporteren die binnen de organisatie gebruikelijk zijn. Participatie in het risicomanagement proces door meerdere personen, dagelijks, echter meestal niet continu.
-Deze rol komt voor in organisaties met een hoge mate van risicobewustzijn. Meestal zijn dit organisaties waarin het begrip “risico” uit de aard van de werkzaamheden altijd aanwezig is, zoals bijvoorbeeld kerncentrales, ruimtevaart en delen van het bank en verzekeringswezen. Verder bij organisaties die risicomanagement (risicobeheersing) als speerpunt van hun beleid hebben gedefinieerd en binnen projecten die bij aanvang als risicovol zijn aangemerkt.
De Consultant (expert)
Ondersteuning in de vorm van kennisoverdracht of begeleiding van een proces. Niet primair gericht op het implementeren en overdragen van de kennis of het proces aan andere leden van de organisatie.
-Deze rol komt met name voor bij organisaties die op een bepaald terrein, dat betrekking heeft op risicomanagement, zelf onvoldoende kennis in huis hebben. Het gebrek aan kennis kan betrekking hebben op het risicomanagement proces (hoe moet het worden uitgevoerd?) of op een bepaald kennisterrein. Bijvoorbeeld bij IT pakketselectie, insourcing of outsourcing trajecten.
De Coach
Ondersteunend met verantwoordelijkheid voor verankering, implementatie en kennisoverdracht, en in sommige gevallen tevens verantwoordelijk voor het eindresultaat. In dat laatste geval wordt gesproken van een “dedicated risk manager”; een persoon die de aandacht strikt beperkt tot het inventariseren en oplossen van risico’s die een gewenst resultaat in de weg staan. In deze rol is de dedicated risk manager onderdeel van het proces en draagt zelf verantwoordelijkheid.
Deze rol komt voor bij organisaties die de keuze hebben gemaakt om risicomanagement structureel toe te passen binnen de bedrijfsvoering, en/of waarbij risico’s vooraf zijn aangemerkt als zeer bedreigend voor het te bereiken resultaat. Dit is veelal het geval binnen grote tot zeer grote projecten.