Managers staan dagelijks voor allerlei keuzes: welke investering geeft mij het beste rendement? Waar zet ik mijn schaarse middelen het best in? Diezelfde vragen gelden ook voor investeringen op het gebied van risicomanagement. Dan gaat het niet alleen over (behoud van) rendement, maar kan het ook gaan over het verlagen van de kans op mogelijk verlies. Daarbij kan een onderscheid gemaakt worden tussen het ‘laaghangend fruit’ en de diepte-investeringen. Dit artikel probeert dit keuzeproces te verduidelijken en te ondersteunen.
Bij investeringen in risicobeheersing gaat het om het maken van de juiste keuzes. Hoe maak je deze juiste keuzes op een goed onderbouwde manier?
Ik ken mijn risico’s en weet hun kans en impact. Dan ben ik toch klaar?
In dit artikel gaan we er gemakshalve van uit dat u de basis van risicomanagement beheerst. Uw organisatie heeft op de juiste niveaus in de organisatie een risico-assessment gedaan en dit – in samenwerking met en ondersteund door de juiste personen – gekoppeld aan de juiste doelstellingen. U kent de belangrijkste strategische risico’s, uw tactische of operationele risico’s en ook zijn uw projectrisico’s in beeld.
U heeft zelfs een goed inzicht in de kans en impact van deze risico’s; uw organisatie heeft een inschatting kunnen maken van de waarschijnlijkheid van het optreden van de belangrijkste risico’s én de schade voor de doelstellingen of het slagen van het project indien het risico daadwerkelijk materialiseert. Wellicht heeft u hiervan zelfs per organisatieniveau een regenboogdiagram gemaakt, zoals het diagram in figuur 1.
Uit dit diagram blijkt dat risico A ‘het spannendst’ is; zowel de kans dat het zich voordoet als de impact scoren voor risico A het hoogst. Risico B heeft een redelijk hoge kans, maar een beperkte impact. Risico C heeft een iets hogere impact (dan B), maar een lagere kans op vóórkomen.
Van risico naar beheersing; van A naar A’
De risico’s zijn nu helder en dan kan het haast niet anders of uw organisatie heeft ook de stap gemaakt naar het benoemen van passende beheersmaatregelen en misschien zelfs afspraken inclusief deadlines gemaakt met eigenaren. Maar wilt u ál deze beheersmaatregelen wel uitvoeren? Zijn ze allemaal even effectief? Hebben verschillende maatregelen niet eenzelfde effect? En zijn ze de investering waard? Brengen de beheersmaatregelen het restrisico voldoende onder de vastgestelde risk appetite? Om dit te beantwoorden, moeten we een stapje verder met het regenboogdiagram. Hierbij is het van belang om, liefst samen met de groep die de risico’s benoemd heeft, vast te stellen hoe het risico eruitziet na implementatie van (clusters van) beheersmaatregelen. Door met elkaar het effect van (clusters van) maatregelen te bespreken, wordt dit inzichtelijk gemaakt en kan het regenboogdiagram verrijkt worden met een A’ bij iedere A, om zo het toekomstig risico dat overblijft na implementatie van beheersmaatregelen te duiden.
Uit de ervaring van de schrijvers met dit proces blijkt vreemd genoeg dat bij een risico dat hoog scoort op impact en laag op kans de beheersing zich vaak richt op kansreductie. Of andersom. Een voorbeeld: de kans op overstroming in een gebied waar u uw serverpark heeft staan is erg klein, maar als het zich voordoet is de schade erg groot. Ga je dan investeren in dijkverhoging (=kansreductie) of in pompen en het leeg laten van de eerste verdieping van het pand waar uw servers staan (=impactreductie)?
Dat kan er dan uitzien zoals weergegeven is in figuur 2. Uit dit diagram blijkt dat risico A, dat hoog scoorde op zowel kans als impact, na de set van beheersmaatregelen nog steeds op een flinke kans uitkomt, maar een veel lagere impact heeft. Blijkbaar zijn de gekozen beheersmaatregelen vooral repressief van aard. Risico B naar B’ laat vooral een reductie zien van de kans op voorkomen, hier is goed nagedacht over preventieve maatregelen.
Zo is te zien dat de lengte van de pijl en zijn richting van A naar A’ gelijk is aan de effectiviteit van de set beheersmaatregelen voor risico A. Houd er hierbij wel rekening mee dat vooral voor impact vaak gewerkt wordt met een logaritmische schaal en dat dit invloed heeft op de werkelijke lengte van de pijl.
Bij een hoge impact met lage kans richt de beheersing zich vreemd genoeg vaak op kansreductie, of andersom
Effectiviteit versus inspanning
Nu duidelijk is welke combinatie van beheersmaatregelen welk effect hebben op de reductie van het risico, is het goed om te kijken of de aan de implementatie van maatregelen verbonden inspanning ook de moeite waard is. Want ook hier gelden de regels van de bedrijfskunde: de investering moet passen binnen een risico- versus rendementsverhouding. Als het voorkómen van een schade meer kost dan het optreden van de schade(s) moet je je afvragen of je het risico niet beter gewoon wil lopen. Hierbij helpt het om het overzicht te maken dat is weergegeven in figuur 3 en figuur 4.
In deze figuren staat op de horizontale as de inspanning; dit is het totaal van de inspanningen die gedaan moeten worden om de maatregel uit te voeren. Dit kunnen out of pocket kosten voor een aanschaf zijn, maar ook (over)werkuren, trainingen, communicatie enzovoort. Deze inspanningen zijn meestal van financiële aard. Op de verticale as staat de effectiviteit; in het geval van risicobeheersmaatregelen gaat het hier om de reductie van het risico. Die effectiviteit was in het vorige overzicht de lengte en richting van de pijl van A naar A’ en die grootheden kunnen nu ook gebruikt worden. Dit doen we ook voor B. We veronderstellen voor het gemak dat de investering voor de beheersmaatregelen van A niet hoog zijn, maar die van B juist wel. In figuur 4 leidt dit tot de plot van de beheersmaatregelen van risico A en risico B waarbij de combinatie van de effectiviteit en de inspanning/investering samenkomen.
Dan voegen we nu de laatste stap toe: vier kwadranten die helpen bepalen wat de goede keuzes zijn.
Uit figuur 5 blijkt dat het laaghangende fruit zich in het kwadrant linksboven bevindt: de inspanning is relatief laag en de effectiviteit relatief hoog. Rechtsonder zijn de gebieden waar je niet wil zijn: het kost veel, maar levert relatief weinig op: een potentieel slechte (risico) investering. Linksonder is het gebied waar zowel de investeringen als de opbrengsten beperkt zijn. Dit gebied noemen we de ‘kleine winst’ omdat je er als organisatie niet slechter van wordt. Rechtsboven staan de strategische beslissingen: de grootste inspanningen, maar ook de grootste resultaten in termen van risicoreductie. Hier hebben we te maken met nieuwe systemen, fusies en overnames, offshoring et cetera. Hierbij gaat het om keuzes die een organisatie kunnen doen excelleren of de kop kunnen kosten.
Wat wel en wat niet?
Laten we terugkeren naar de oorspronkelijke vraag; wat zijn de juiste investeringen in risicomanagement?
Hiervoor voegen we nu de figuren 4 en 5 samen in figuur 6.
Uit deze figuur blijkt dat het goed is om in ieder geval eerst het laaghangend fruit te plukken. De maatregelen voor Risico A moeten zo te zien zeker genomen worden.
Er kunnen tegelijk keuzes gemaakt worden, maar op verschillende niveaus, over de kleine winsten en de strategische investeringen. De maatregelen voor de reductie van risico B (zie figuur 2) lijken niet op te wegen tegen de verwachte kosten. Logischerwijze valt dat project af. Voor transparantie, maar vooral voor het periodiek bewaken en monitoren van risicoprojecten is dit een bijzonder prettig overzicht gebleken.
Zorg wel voor een goed overzicht van de risico’s die je op deze manier niet af wil dekken, hiervoor kan een expliciete en bewuste risico-acceptatie noodzakelijk zijn.
