8. Implementatie van risicomanagement F.G.A. (Ton) Weijers Wat je in dit hoofdstuk kunt verwachten: In dit hoofdstuk neem je kennis van het proces van bewustwording en leer je hoe je daarin de leiding kunt nemen binnen de organisatie waarin je werkzaam bent. Je gaat aan de slag met het identificeren van risico’s (zie figuur 8.1) en hoe je die gestructureerd kunt categoriseren. Je gaat de risico’s op zodanige wijze managen dat de kans dat zij zich voordoen wordt verkleint en de gevolgen van risico’s voor jouw organisatie minimaal zullen zijn.
1
Figuur 8.1 Safety management. Bron: Sitetech Geleen.
Inleiding Het is van belang om de identificatie van risico’s en de implementatie van risicomanagement geen aparte activiteiten te laten zijn. Door in het totale ontwikkelproces van risicomanagement alle actoren te betrekken, is bij definitieve ondertekening van het invoeringsbesluit de implemantatie feitelijk uitgevoerd. Stel een werkgroep in die: de structuur kan aanbrengen, de acties uitzet, de voortgang bewaakt en de rapportages opstelt en communiceert. Zet risicomanagement activiteiten in een stappenplan zodat de volgordelijkheid, beslismomenten en uit te voeren acties eenduidig zijn. Onderstaand KAMI-schema kan daarbij behulpzaam zijn. KAMI (zie figuur 8.2) staat voor 8 processtappen en voor spirit dat ontstaat bij de uitvoering en het behaalde eindresultaat.
2
Figuur 8.2 Bron en Copyright: F.G.A.Weijers Onderstaand een voorbeeld hoe de stappen gevuld kunnen worden. Het is van groot belang om de interne en externe invloeden te managen omdat anders de strategie niet kan worden uitgevoerd. Napoleon zal ongetwijfeld een goede strategie hebben gehad voor zijn doelstelling om de slag bij Waterloo te winnen maar hij verloor. Uitvoeren risicomanagement stappenplan Visie Missie
Doelstellingen
Geen optredende risico incidenten. Bereiken van volledig bewustzijn op verantwoordelijkheden en risico’s in het algemeeen en persoonlijke activiteiten in het bijzonder. Ontwikkelen en onderhouden van een risicomanagement model. 3
Strategie
Actieprogramma
Organisatie
Controle
Evaluatie
Identificeren, categoriseren, elimineren, verleggen, verzekeren en/of dragen van risico’s. Opstellen en implementeren van risicomanagement model in de organisatie. Inrichten en equiperen risicomanagementboard. Instellen werkgroep. Processchema ontwikkelen en implementeren. Functiebeschrijvingen en werkinstructies opstellen en implementeren. Opstellen en inbedden in organisatieprofiel (beleggen in werkproces en/of functionele afdeling). Vaststellen taken, verantwoordelijkheden en bevoegdheden. Maandelijkse inventarisatie van te verwachten risico’s en te bepalen acties. Periodieke (bijvoorbeeld maandelijks) rapportage van te verwachten risico’s en uitgevoerde acties voor eliminatie. Jaarlijkse audit en rapportage op het risicomanagement proces. Doelstellingen bereikt? Wijzigingen noodzakelijk? KAMI doorlopen en bepalen of Visie en Missie nog toereikend zijn.
Externe invloeden Randvoorwaarden
Wet en regelgeving Externe invloeden sturen en aanwenden
Interne invloeden
Solide bedrijfsorganisatie. Focus op risicomanagement. Ontwikkeling van kennis en kunde. Communicatie, draagvlak, communicatie. Vakbekwaam en bevoegd personeel.
Bekwaamheden
4
Prioriteiten
Hulpmiddelen en bronnen
Bepaal uit het totaal van de acties de prioriteiten en volgordelijkheid van de uit te voeren acties. Bepaal en verwerf het benodigde budget in tijd en geld. Leden werkgroep en risicomanagement board.
Als actie binnen het KAMI proces kan het risicomanagement stappenplan worden uitgevoerd. Risicomanagement stappenplan voor de uitvoering van Identificatie en Implementatie (aspecten) van Risicomanagement: Stap Stap Stap Stap Stap Stap Stap 8.1.
8.1: 8.2: 8.3: 8.4: 8.5: 8.6: 8.7:
Bewustwording Inventarisatie en vaststelling aansprakelijkheden Inventarisatie Risico’s behorende bij aansprakelijkheden Classificatie en Inrichting Risk Management niveaus Inrichten Risicomanagement rapportages Inrichten Proces/Stroomschema en Taakbepaling Risicomanagement Board
Bewustwording
Overheden en Ondernemingen zijn zich meer bewust van hun verantwoordelijkheid voor de maatschappij dat zich uit in duurzaam en maatschappijk verantwoord ondernemen (MVO) met zorg voor mens, milieu en maatschappij. De implementatie van risicomanagement is een onderdeel van MVO en begint bij de bewustwording dat een onderneming de functie nodig heeft om MVO te realiseren en haar bedrijfsvoering optimaal uit te kunnen voeren. Deze functie breed communiceren naar alle actoren maakt hen er van bewust dat een overheid en/of onderneming, (1) verantwoordelijk is voor haar handelen, (2) daarvoor algemene en
5
juridische aansprakelijkheid draagt en (3) algemene en financiële risico’s loopt. Deze bewustwording wordt breder door te communiceren dat alle actoren ook persoonlijk functionele en wettelijke aansprakelijkheid dragen en risico’s lopen. Bewustwording geeft focus op wat er is, discipline op wat moet worden gedaan (of juist niet) en communicatie met betrekking hoe, wat en wanneer. In communicatie worden vier psychologische aspecten ondescheiden: het expressieve (de manier waarop de boodschap wordt overgebracht), het zakelijke (de feitelijke informatie), het relationele (de relatie tussen de zender en de ontvanger) en het apellerende (het doel van de spreker). Extra aandacht voor communicatie is van groot belang, omdat risico’s vaak optreden door hierachische blokkades en niet tijdige, of onjuiste communicatie. Goede directe en tijdige communicatie is de belangrijkste succesfactor bij de implementatie van risicomanagement. Bepaal de juiste middelen om te communiceren, middelen zoals Intranet, nieuwsbrief, plenaire informatie en vragen sessies etc., dienen te voldoen aan de behoefte en het niveau van de werknemers. Voorkom een te laag niveau van communicatie waardoor men minder attent is.
Verantwoordelijkheid en aansprakelijkheid De woorden verantwoordelijkheid en aansprakelijkheid worden soms verkeerd gebruikt. Het komt veel voor dat men in zakelijke, contractuele relaties het woord verantwoordelijk gebruikt, waar juridisch aansprakelijk wordt bedoeld. Andersom komt ook voor. Een persoon is in zakelijke situaties, in de relatie tot zijn organisatie verantwoordelijk voor zijn taak. Een taak kan worden beschreven in 6
een taakomschrijving, soms zelfs in een arbeidscontract. In een taakomschrijving staat een serie handelingen en activiteiten die de werknemer moet verrichten. Een taak kan ook functioneel worden omschreven als het bereiken van een omschreven resultaat. Als de persoon zijn taak niet goed vervult kan men hem daarvoor verantwoordelijk houden. Er kan corrigerend worden opgetreden door bijvoorbeeld het overslaan van een jaarlijkse verhoging van het salaris of het overplaatsen naar een andere afdeling, waar hij of zij wellicht beter tot zijn recht komt. Verantwoordelijkheid hoort in het algemeen bij mensen. Aansprakelijk kan een persoon ook zijn als hij schade veroorzaakt die aan hem is toe te rekenen. Echter voor het onderwerp van dit hoofdstuk, waar wij voornamelijk de risico-identificatie in de waardeketen willen bespreken komt die persoonlijke aansprakelijkheid niet of hooguit zelden aan de orde. Een werknemer van een leverancier, onderaannemer of dienstverlener is verantwoordelijk voor de goede uitvoering van zijn taak. Gaat daarbij iets op zodanige wijze fout dat elders in de waardeketen schade ontstaat dan komt de aansprakelijkheid ter sprake. Men kan de persoon niet aansprakelijk houden. Aansprakelijk is niet de persoon die de schade (mede) veroorzaakte, maar de organisatie waarvoor hij werkt en in wiens dienst hij zijn taak tot uitvoering brengt. Bij aansprakelijkheid gaat het er om dat men een ander – dat is in het zakenleven gewoonlijk een rechtspersoon - kan aanspreken op vergoeding van geleden schade door tekortkomingen, fouten of omissies die een of meer personen in dienst van die ander – die rechtspersoon – hebben begaan. Die aansprakelijkheid wordt afgeleid van een zakelijke overeenkomst, een set juridische verbintenissen tussen een opdrachtgever / koper en een opdrachtnemer / leverancier. Kenmerkend verschil tussen verantwoordelijk en aansprakelijk is dat men bij verantwoordelijkheid geen vergoeding van de geleden 7
schade kan eisen, terwijl dat bij aansprakelijkheid wel kan. Ook een opdrachtnemer / leverancier kan verantwoordelijk zijn zonder dat hij daarbij aansprakelijk is voor de schade die zijn wederpartij leidt door zijn tekortkomingen. 8.2. Inventarisatie en vaststelling aansprakelijkheden en verantwoordelijkheden. De start ligt bij het bepalen van alle aansprakelijkheden van de onderneming als geheel, de bestuurders, de werknemers en de bedrijfsprocessen. Als gestart wordt met het inventariseren en bepalen waarvoor een onderneming aansprakelijk is (wettelijk-, intern- , extern-, persoonlijke-, bestuurs- en medewerkeraansprakelijkheid), zijn alle medewerkers, klanten, leveranciers, overheden en overige actoren van belang. Aansprakelijkheden liggen op strategisch, tactisch en operationeel niveau. Door bij de inventarisatie alle werknemers te betrekken, ontstaat een uitgebreid totaaloverzicht van alle aansprakelijkheden van de onderneming en verantwoordelijkheden van de werknemers met eventuele overlappingen. De werkgroep kan zodoende de overlap eruit filteren en vervolgens de geïnventariseerde aansprakelijkheden en verantwoordelijkheden inzichtelijk clusteren op management- en medewerker niveau (zie figuur 8.3). Het in figuur 8.3 opgenomen ”management and risk level” komt voort uit het risico kwadrant als beschreven in paragraaf 3.5, figuur 3.3 en paragraaf 8.4.
8
Figuur 8.3 Bron en Copyright: F.G.A.Weijers 8.3. Identificatie en Inventarisatie risico’s behorende bij aansprakelijkheden en verantwoordelijkheden Bepaal met gebruikmaking van het cluster van aansprakelijkheden en verantwoordelijkheden de impact van enige aansprakelijkheid op de onderneming en op de daarin aanwezige personen. Een risico is de kans dat de aansprakelijkheid zich zal voordoen. Uitgangspunt is dat een aansprakelijkheid zich altijd zal voordoen. De vraag is echter wanneer en hoe vaak. Bepaal vervolgens de hoogte van de impact 9
als de aansprakelijkheid zich zal voordoen (bedrijfssluiting, financieel, imago, etc.). Bepaal de risico's volgens de productresultaten als beschreven in de functie beschrijvingen en waar werknemers voor betaald worden. Cluster de risico’s naar functiegebied, omgeving, primair en secundair op strategisch, tactisch en operationeel niveau. In figuur 8.4 staat een voorbeeld van inkooprisico’s op omgevings-, primair en secundair niveau binnen het inkoopproces. Neem hierin de kennis van de case uit hoofdstuk 7 mee.
10
Figuur 8.4 Bron: Nevi CPD en F.G.A.Weijers
11
8.4.
Classificatie en Inrichting Risk Management niveaus
Na de inventarisatie zoals genoemd in paragraaf 8.2 en met gebruikmaking van de kennis uit de case in hoofdstuk 7 zijn nu de aansprakelijkheden en verantwoordelijkheden, de mate (kans) van risico dat een aansprakelijkheid en/of verantwoordelijkheid zich zal kunnen voordoen èn de impact als de aansprakelijkheid en/of verantwoordelijkheid zich zal voordoen, vastgesteld. Afhankelijk van de managementlagen in de onderneming (zie figuur 8.3) kan een classificatie worden opgesteld op basis van impact x kans.
Figuur 3.3 Bepaal werkniveau’s op basis van de managementniveaus in figuur 8.3: Impact x Kans beide op een schaal van 5 geeft de levels in figuur 8.5: 12
Level 1: tussen 1 - 5 laag operationeel risico (afhandelen op operationeel niveau) Level 2: tussen 5 - 10 Level 3: tussen 10 - 15 Level 4: tussen 15 - 20 Level 5: tussen 20 - 25 hoog strategisch risico (afhandelen op bestuurlijk niveau)
Figuur 8.5 Bron: F.G.A. Weijers Bepaal vervolgens wat de consequenties kunnen zijn als het risico zich voordoet. Voor een eenduidige vergelijking is het van belang deze consequenties in geld uit te drukken. Technische schade is in het algemeen goed te calculeren echter reputatieschade, dodelijke ongeval en/of ongeval met blijvend letsel, bedrijfssluiting e.d. vergen inzicht en kennis van claimmanagement. Schade experts en assuradeuren kunnen hierbij behulpzaam zijn. Afhankelijk van de draagkracht van de onderneming kunnen de geldbedragen worden geklassificeerd in onbeduidend, gering, matig, groot en/of catastrofaal (zie figuur 8.6). Daar waar overheden zich meestal niet verzekeren (eigen risicodrager zijn) is het aanhouden van een financiële buffer voor risicoaansprakelijkheid aan te bevelen.
13
Description Consequence
Financial Impact on EBIDA
Insignificant
€ 0 to 10k
Minor € 10k to 30 k
Moderate
Major
€ 30k to 100 k € 100k to 1M
Product cost price vs budget Delivery performance Health, Safety Environment Quality Reputation Management effort
Figuur 8.6 Bron: F.G.A.Weijers
8.5 Inrichten Risicomanagement rapportages Riscomanagement-rapportage kan evenals de classificate op de managementlagen in de onderneming worden ingericht. De managementlagen (zie figuur 8.3) zijn de besluitvormende niveaus waar risico’s worden erkend, voorkomen of gedragen. Ieder proces en/of afdeling in de onderneming kan maandelijks een risicomanagement-inventarisatie uitvoeren en rapporteren. Rapportage vindt meestal plaats aan de HSEQ-afdeling en in de Risk Management Board (zie paragraaf 8.7). De afdeling HSEQ verzamelt, clustert en verzendt de rapportages, zet procesoverschrijdende acties uit en bewaakt de voortgang hiervan met rapportage aan de Risicomanagement Board. Onderstaand enige voorbeelden van inventarisatie en classificatie rapportage. 14
Figuur 8.7 Bron: F.G.A. Weijers
15
Figuur 8.8 Bron: F.G.A. Weijers
16
8.6 Inrichten Proces/stroomschema en taakbepaling Zet risicomanagement activiteiten in een proces/stroomschema zodat de volgordelijkheid en beslismomenten eenduidig zijn. Geef per processtap de activiteit aan, wie de verantwoordelijkheid daarvoor heeft en wie beslissingbevoegd is (persoon, groep van personen, vergaderverbanden, management niveau etc.). Zorg er voor dat alle werkgroep leden een duidelijke taakomschrijving hebben en bepaal wat nodig is voor input om de taak goed uit te kunnen oefenen. Stel eisen aan de output omdat die weer geldt als input voor een volgende taak. Bedenk dat hoe goed de taak ook wordt uitgevoerd, verkeerde input resulteert in verkeerde output.
Figuur 8.9 Bron: F.G.A. Weijers
8.7.
Risicomanagement Board
Dat een risico klein begint en groot eindigd vindt mede zijn oorzaak in het volgen van de hierarchische communicatie en beslislijnen. Door de hierarchie te volgen verloopt de tijd en wordt de schade impact hoger. 17
Hiërarchie is vaak een barriere om hoger management tijdig te te informeren vanwege: - Zeer strakke hiërarchische niveau’s in de organisatie; - Een uitgangspunt dat je kunt het zelf wel oplossen; - Bescherming van collega’s om beoordeling of veroordeling te voorkomen. Als voorbeeld geldt een CEO van een Nederlandse multinational die 14 dagen na het ontstaan van een incident werd geïnformeerd, daarna binnen 15 minuten alle noodzakelijke besluiten had genomen en na afloop van alle uitgevoerde acties met alle betrokkenen een nabespreking heeft gehouden waarin zijn belangrijkste vraag was:
“Ben ik nu zo’n boeman dat niemand het mij heeft durven te vertellen?” Zijn belangrijkste advies:
“Als je in de shit zit moet je het lachend vertellen want dan wordt je altijd geholpen om het op te lossen” Zijn opmerking indien je dat niet opvolgt:
“Hoe langer je in de shit zit hoe meer je gaat stinken”. In deze zaak was de uiteindelijke financiële schade 12 x hoger dan noodzakelijk was geweest plus de te voorkomen imago schade naar marktpartijen en consumenten. In figuur 8.10 zijn de werkniveaus / riskmanagement levels 0-5, 5-10, 10-15, 15-20, en 20-25 aangegeven. De lijn van toename schade impact geeft aan hoe met het verstrijken van de tijd de impact van een klein risico kan uitgroeien tot catastrofaal en gekwantificeerd naar geld tot zeer hoge kosten.
18
Figuur 8.10 Bron: F.G.A. Weijers Zorg voor de inrichting van een risk management board met beslissingsbevoegdheid die bij het optreden van een risico direct wordt geïnformeerd of bij ontbreken daarvan voor operationele (niet hierarchische) bevoegdheden Een risicomanagement board kan bestaan uit de essentiele functie binnen de onderneming zoals vertegenwoordigers en/of leidinggevenden vanuit juridische zaken, bedrijfsbeveiliging, HS&E, financiën, Inkoop, ondernemingsleiding, externe diensten als brandweer etc. Probeer een risicomanagement board klein en slagvaardig te houden met alleen de essentiële basis verantwoordelijkheden. Per risico kunnen op het risico van toepassing zijnde functionarissen aanvullen worden toegevoegd. Een risicomanagement board komt na een melding direct bij elkaar en bepaalt de te ondernemen acties zodat die snel kunnen worden gerealiseerd en de impact van de aansprakelijkheid zo beperkt mogelijk wordt gehouden. Bedenk hierbij dat de meeste risico’s klein beginnen en groot eindigen door onjuiste communicatie en te laat bepalen van de juiste acties. De meeste grote rampen in de geschiedenis zijn klein begonnen!
19
Als een risicomanagement board onderdeel is van een risk management proces dan kunnen zij mede bepalen welke aansprakelijkheden de onderneming wil en/of kan dragen, contractueel kan verleggen naar klanten en/of leveranciers en/of wil verzekeren. Contractueel verleggen is van toepassing als derden beter in staat zijn een risico te kunnen beheersen en/of elimineren. Win bij verzekeren de adviezen van de assuradeur in. Deze wordt meestal geïnformeerd bij schademelding en weinig gevraagd voor advies voor het voorkomen van schade. De assuradeur en/of schadeexpert kunnen adviezen geven om de risico’s op schade te beperken waarbij tevens de premie voor het overblijvende risico lager kan zijn. Zorg daarnaast voor een jaarlijkse evaluatie met de assuradeur. 8.8.
MKB (miden en klein bedrijf)
Wat je tot nu toe hebt gelezen is grotendeels vootgekomen uit kennis, kunde en ervaring vanuit grote ondernemingen en je zult nu mogelijk kunnen afvragen, wat kan ik hiermee binnen het MKB? Is bijvoorbeeld een risicomanagement board binnen het MKB geen brug te ver omdat de directeur eigenaar alles zelf beslist? De optredende risico’s binnen grote bedrijven en het MKB zijn in principe identiek echter grote ondernemingen hebben grote buffers om dit op te vangen. De impact van een optredend risico is binnen het MKB groter dan bij de grote ondernemingen Binnen het MKB zijn de processen in principe gelijk aan die van de grote ondernemingen, ze zijn echter kleinschaliger ingericht. Richt dan een risicomanagement board kleinschalig in tot de meest essentiële vorm die noodzakelijk is om risico’s te managen en te beheren. Zowel bij grote ondernemingen als het MKB is het van belang de competenties en de verantwoordelijkheden te bepalen en toe te wijzen, de risico’s te identificeren, te specificeren en te analyseren,
20
het niveau van de risico’s te bepalen, de risico’s te verleggen, te elimineren en / of te dragen. 8.9.
Conclusies
Algemeen: Als conclusie na het lezen en toepassen van dit hoofdstuk zal het je duidelijk zijn dat zowel een grote onderneming als het MKB met de daarin werkzame personen risico’s dragen en ondervinden. Door bewustwording van aansprakelijkheid en verantwoordelijkheid is het mogelijk de kans dat een risico zich voordoet wordt verkleind, en de impact en gevolgen bij een optredend risico kleiner kunnen worden gehouden. Nog veel belangrijker is het dat een optredend risico door een goed ingericht risicomanagement board klein kan worden gehouden en niet zal uitgroeien tot catastrofaal voor onderneming, medewerkers en maatschappij. In het bijzonder voor projecten: De allereerste conclusie voor projectmanagement, na het lezen van dit hoofdstuk moet zijn dat het in de praktijk onmogelijk is om in een vroeg stadium van een project alle risico’s te identificeren. Dat leidt tot de noodzaak om de inventarisatie van risico’s gedurende de loop van projecten periodiek voortdurend te herhalen. Tijdens het project kunnen nieuwe risico’s ontstaan en kunnen onbekende risico’s (de witte vlekken uit hoofdstuk 7) nog aan het licht komen. Risicomanagement is een belangrijk onderdeel van projectmanagement. Er bestaan meer dan tien technieken om projectrisico’s op het spoor te komen. Vaak wordt dit nader opsporen niet mogelijk doordat een organisatie onvoldoende geschoold personeel heeft voor een dergelijke taak, of dat het bekwame personeel onvoldoende tijd of capaciteit heeft om de ongeziene risico’s in kaart te brengen. Net zoals een aannemer aansprakelijk is voor schade door risico’s die hij
21
vooraf heeft opgemerkt is hij dat in beginsel ook voor risico’s die vooraf onopgemerkt zijn gebleven. Er is een belangrijk verschil tussen verantwoordelijkheid en aansprakelijkheid; deze gaan niet samen. Men kan verantwoordelijk zijn voor het uitoefenen van een taak, het realiseren van een opdracht of het maken van een bestek. De personen die dat doen zijn niet aansprakelijk voor schade die ontstaat als de taken dusdanig slecht worden uitgevoerd dat daardoor schade ontstaat. Analyse van het betreffende geval is steeds nodig. Contracten kunnen aansprakelijkheden verplaatsen tussen verschillende schakels van een waardeketen. Risico’s in ondernemingen, projecten en gewoon bij je thuis dienen continue en op systematische wijze te worden bewaakt en beheerst. Doe je dat niet dan wijzen vele recente, dramatische gebeurtenissen op het belang van het verbeteren van risicomanagement en risicobeheer in de gehele samenleving. Je weet nu veel en hebt in hoofdstuk 6 gelezen dat je het wel moet willen. Ga het ook doen want je kunt het! Succes.
22
