Risicoanalyse Inleiding Risico’s analyseren is een manier om vooruit te kijken, niet een manier om achteraf te beoordelen wat er mis is gegaan. Een risicoanalyse is een methode waarbij nader benoemde risico’s worden gekwantificeerd. Dat gebeurt door te bepalen wat de kans is dat een dreiging zich voordoet en wat de gevolgen daarvan zijn. Het maken van een risicoanalyse is een fase in een cyclisch proces. De volgende stap daarin is het kiezen van beheersmaatregelen, het uitvoeren van deze maatregelen en het eventueel opnieuw uitvoeren van een risicoanalyse. Dit cyclische proces vindt plaats gedurende de gehele fase van organiseren van het evenement. In dit hoofdstuk van de Modelaanpak Evenementen wordt een beschrijving gegeven van het maken van een risicoanalyse.
Inhoudsopgave 1. Het maken van een risicoanalyse ................................................................................... 2 1.1. Bepaal het doel van de risicoanalyse .......................................................................................... 2 1.2 Breng de risico’s in kaart ............................................................................................................... 2 1.3 Bepaal de prioriteiten .................................................................................................................... 3
2. Voorbeeldanalyse ............................................................................................................ 4 3. Het opstellen van beheersmaatregelen ......................................................................... 5 3.1 Vermijding van het risico ............................................................................................................... 5 3.2 Vermindering van het risico........................................................................................................... 5 3.3 Acceptatie van het risico ............................................................................................................... 6 3.4 Overdracht van het risico .............................................................................................................. 6
4. Checklist voor beheersmaatregelen .............................................................................. 7 5. Conclusie en vervolg ...................................................................................................... 7 6. Gerelateerde documenten .............................................................................................. 7
Pagina 1 van 7
1. Het maken van een risicoanalyse Met risicomanagement wordt een betere beheersing van risico’s beoogd, zodat op een verantwoorde en transparante wijze met risico’s kan worden omgegaan. Dit wordt bereikt door continu risico’s expliciet te maken en te beheersen. Via de managementrapportage (zie het hoofdstuk Planning & Control) is er een voortdurende aandacht voor de beheersing van de risico’s bij het management en/of het bestuur. De eerste risicoanalyse kan worden uitgevoerd vanaf het moment dat duidelijk is welk resultaat er met het project behaald moet worden. De verschillende scenario’s om het doel te bereiken worden bekeken in termen van risico’s. Als het project in volle gang is, gaan de volgende risicoanalyses over aspecten van de uitvoering. Een risicoanalyse kan in drie stappen gemaakt worden: 1. 2. 3.
Bepaal het doel van de risicoanalyse Breng de risico’s in kaart Bepaal de prioriteiten
Hieronder volgt een nadere uitwerking van elke stap om te komen tot een risicoanalyse.
1.1. Bepaal het doel van de risicoanalyse De essentie van deze stap is het inrichten van de risicoanalyse. Door vast te stellen waar de risicoanalyse op gericht is (wat het doel is), wordt in de terminologie van de risicoanalyse de ‘ongewenste gebeurtenis’ vastgesteld. Een ‘ongewenste gebeurtenis’ is die situatie waarvan de manager of toernooidirectie niet wil dat deze zich voordoet. Bepaal op welke beheersaspecten (KOFTIG: kwaliteit, organisatie, faciliteiten, tijd, informatie en geld) de risicoanalyse uitgevoerd wordt. In de praktijk blijkt dat, bij goed doorvragen, één aspect vaak doorslaggevend is.
1.2 Breng de risico’s in kaart Zodra het doel geformuleerd is, kan er binnen dit beperkte doel zo breed mogelijk gekeken worden naar risico’s. Hierbij moet rekening worden gehouden met verschillende invalshoeken. Bijvoorbeeld: •
•
Organisatorisch: Zijn er projectprocedures? Is er afstemming tussen deelprojecten? Worden materiaal en personeel tijdig besteld? Worden contracten op tijd opgesteld? Is het personeel goed opgeleid? Juridisch: hoeveel inzicht is er in alle wettelijke vereisten op het gebied van veiligheid, milieu, sponsorcontracten, garantstellingen? Denk ook aan het contract dat is afgesloten met de Internationale Federatie, inclusief de reglementen waar naar wordt verwezen.
Pagina 2 van 7
•
Financieel: Prijsstijging materialen, tariefwijzigingen, faillissement opdrachtgever, afwijkingen in de aannames wat betreft afschrijving en belasting en de sponsoropbrengst.
Het in kaart brengen van de risico’s kan door iedere manager afzonderlijk worden gedaan (bijvoorbeeld via de deelprojectbeschrijvingen) of kan als gezamenlijke opdracht aan het MT worden meegegeven. Formuleer elk risico zo concreet mogelijk. Een risico bestaat uit meer dan één woord. Beschrijf wat er niet goed kan gaan, waardoor dat veroorzaakt wordt en wat het gevolg ervan is. De beschrijving van het risico moet helpen bij de omschrijving van een maatregel. Een format voor het maken van een risicoanalyse is opgenomen in het blok met downloads op de pagina van Risicoanalyse.
1.3 Bepaal de prioriteiten Het vaststellen van de belangrijkste risico’s kan op veel manieren. Twee veel gebruikte methoden zijn: • het verdelen van punten over de lijst met risico’s • voor de individuele risico’s de kans van optreden en het gevolg van optreden apart beoordelen met getallen
Acceptatie
Niveau
Kans
Impact
Risico
Om de prioriteiten te bepalen van de risico’s van een sportevenement wordt gekeken naar een aantal factoren (zoals weergegeven in het format voor het maken van een risicoanalyse): • de impact van het risico • de kans dat het risico zich ook daadwerkelijk voordoet • het niveau van het risico • de acceptatie van het risico
Pagina 3 van 7
Ja / Nee
Weging door Manager P&C
Laag
Gemiddeld
Hoog
Kritiek
Zeldzaam (<5%)
Klein (5-29%)
Gemiddeld (30-59%)
Groot (60-79%)
Zo goed als zeker (80%+)
Te verwaarlozen
Klein
Gemiddeld
Groot
Extreem
Beschrijving risico
Als bovenstaande goed in kaart is gebracht, wordt door de Manager Planning & Control een weging gemaakt of het in kaart gebrachte risico ook daadwerkelijk een bedreiging vormt voor de organisatie van het evenement. De weging wordt besproken in MT en uiteindelijk vastgesteld door de toernooidirectie en/of het bestuur.
2. Voorbeeldanalyse Aan de hand van de verschillende clusters en bijbehorende deelprojecten kun je in kaart brengen wat er fout kan gaan. Wat kan er bijvoorbeeld fout gaan in het cluster Hotelaccommodatie? Een antwoord op deze vraag kan zijn dat de begrote inkomsten via de verkoop van hotelkamers achterblijven. Er is sprake van zowel een financieel risico (niet alle hotelkamers worden verkocht) als een organisatorisch risico (er worden te weinig hotelkamers geboekt). Bekijk vervolgens de oorzaak van het risico om op het spoor gezet te worden van de beheersmaatregel. De beheersmaatregelen zijn de maatregelen die genomen moeten worden om het risico te beperken (zie paragraaf 3 van dit hoofdstuk). De beheersmaatregel voor het risico ‘achterblijven van begrote inkomsten via de verkoop van hotelkamers’ kan bijvoorbeeld zijn dat er een harde afspraak komt over het moment waarop blijkt dat het benodigde aantal hotelkamers niet verkocht gaat worden en er nog bezuinigd kan worden op andere clusters en/of deelprojecten. In dit geval is een goede monitor van de verkoop van hotelkamers van belang. Ook kunnen in dit voorbeeld afspraken met de hotels gemaakt worden over flexibele annuleringsvoorwaarden. Een voorbeeld van een volledige risicoanalyse (IPC WK zwemmen 2010) is opgenomen in het blok met downloads op de pagina van Risicoanalyse.
Pagina 4 van 7
3. Het opstellen van beheersmaatregelen De manieren om met risico’s om te gaan, worden vaak beheersmaatregelen genoemd. De beheersmaatregelen kunnen in de volgende categorieën worden onderscheiden: • vermijding van het risico • vermindering van het risico • acceptatie van het risico • overdracht van het risico
3.1 Vermijding van het risico Soms is het eenvoudigweg vermijden van een risico de beste strategie. Zo kan het risico op instorting van een gebouw door een aardbeving vermeden worden door het bedrijf te vestigen in een gebied waar geen aardbevingen voorkomen. Vertraging van de bouwwerkzaamheden vanwege vorst kan vermeden worden door in de zomer te bouwen. Vaak is vermijding echter geen optie en moeten er maatregelen genomen worden om het risico te verminderen of de schade te beperken wanneer een bedreiging optreedt. In het voorbeeld van het risico ‘achterblijven van begrote inkomsten via de verkoop van hotelkamers’ kan de organisatie er voor kiezen om helemaal geen hotelkamers aan te bieden. Deze vermijding moet wel toegestaan zijn, want vaak is het een verplichting vanuit de Internationale Federatie om hotelkamers aan te bieden.
3.2 Vermindering van het risico Maatregelen om het risico te verminderen kunnen oorzaakgericht of gevolggericht zijn. De eerste zorgen ervoor dat de kans dat de gebeurtenis optreedt, kleiner wordt. De gevolggerichte maatregelen zorgen ervoor dat de schade minimaal is wanneer de gebeurtenis toch plaatsvindt. Een voorbeeld van een oorzaakgerichte maatregel is het verbeteren van het onderhoud aan apparatuur. Als hardware goed onderhouden en op tijd vervangen wordt, vermindert dat het risico op computeruitval en dataverlies. Als personeel gezond eten krijgt voorgeschoteld in de kantine en mag fitnessen op kosten van de zaak, helpt dit om het ziekteverzuim terug te dringen. Een voorbeeld van een oorzaakgerichte maatregel binnen het cluster Hotelaccommodatie is het verbeteren van het inzicht in het werkelijk benodigd aantal hotelkamers. Door ervaringscijfers op te vragen over deelname en verblijf van delegaties bij eerder georganiseerde evenementen kan een redelijk goede voorspelling gedaan worden over het aantal benodigde hotelkamers. Gevolggerichte maatregelen hebben vaak te maken met het inbouwen van redundantie in een systeem. Met andere woorden het zorgen voor reservecapaciteit, zodat bij een calamiteit de voortgang van een project niet in gevaar komt. Dat kan reservemateriaal zijn, bijvoorbeeld een externe
Pagina 5 van 7
harde schijf als back-up. Het kan ook gaan om het inwerken van extra personeel voor het geval dat een medewerker ziek wordt. Zo wordt het risico kleiner dat er opeens kritische knowhow verdwijnt. Een voorbeeld van een gevolggerichte maatregel binnen het cluster Hotelaccommodatie is het contracteren van meerdere hotels om het risico van overbezetting te beperken. Het risico van onderbezetting kan beperkt worden door het onderhandelen van flexibele annuleringsvoorwaarden met de betreffende hotels.
3.3 Acceptatie van het risico Als een risico niet erg groot is, of als de vermijding ervan niet mogelijk is, kan het risico gewoonweg worden aanvaard. Er moet dan wel rekening worden gehouden bij de schatting van de benodigde tijd en de geraamde kosten. De marges moeten wat groter gemaakt worden. In het voorbeeld van de hotelkamers kan dat inhouden dat er enerzijds meer hotelkamers geboekt worden dan nodig worden geacht (met een bepaalde marge) en dat anderzijds bij de berekening van de marge per hotelkamer die verkocht wordt, de mogelijke annuleringskosten bij onderbezetting worden meegerekend.
3.4 Overdracht van het risico Een risico kan ook worden overgedragen aan een andere partij. Een manier om dit te doen, is het afsluiten van een verzekering. Een andere vorm van risico-overdracht is het outsourcen van een activiteit. Natuurlijk bestaat er het risico dat de partij aan wie de dienst wordt geoutsourced een slechte dienst levert. Maar doorgaans is de expertise bij de andere partij groter dan de expertise die het eigen bedrijf heeft. Om een extreem voorbeeld te geven: weinig bedrijven zullen zelf voorzien in hun elektriciteit met een aggregaat in de kelder (met uitzondering van een noodaggregaat). Het risico op stroomuitval is kleiner als je dit uitbesteedt aan een gespecialiseerd elektriciteitsbedrijf. Of denk aan een zelfstandig ondernemer die de boekhouding uitbesteedt aan een financieel adviseur. In principe mag een zelfstandig ondernemer zelf zijn aangifte doen, maar de meeste ondernemers erkennen dat het risico dat zij een fout maken of een financieel voordeel over het hoofd zien, kleiner is als zij deze taak uitbesteden. Een voorbeeld van de overdracht van het risico binnen het cluster Hotelaccommodatie is als de boeking van de hotelkamers via een gespecialiseerde boekingsagent verloopt. Er dienen dan wel goede afspraken gemaakt te worden over de te dragen risico’s.
Pagina 6 van 7
4. Checklist voor beheersmaatregelen Op basis van de risicoanalyse en bovenstaande overwegingen worden beheersmaatregelen gekozen. Deze kunnen uiteenlopen van het afsluiten van een verzekering tot het aannemen van extra personeel. Voordat deze uitgevoerd worden, is het raadzaam om ze op een aantalpunten te evalueren. De evaluatie kan via onderstaande checklist voor beheersmaatregelen: • Zijn er voldoende middelen/geld om de maatregel uit te voeren? • Is er voldoende mankracht om de maatregel uit te voeren? • Is er een verantwoordelijk persoon voor de beheersmaatregel aangewezen? • Als een risico wordt overgedragen, is dat ook echt zinvol? Kan de partij in kwestie het risico ook daadwerkelijk dragen? • Brengt de maatregel niet weer nieuwe risico’s met zich mee?
5. Conclusie en vervolg Risicoanalyse is een doorlopend proces gedurende de fase ‘organiseren’. Telkens moet, bij het formuleren/bijstellen van doelstellingen en het maken/wijzigen van concrete uitvoeringsplannen gekeken worden naar mogelijke risico’s. Zeker voordat er financiële verplichtingen worden aangegaan of voordat er naar buiten wordt getreden met plannen. Ook de consequenties van beheersmaatregelen en de eventuele risico’s die gekozen oplossingen met zich meebrengen, moeten weer in kaart gebracht worden voordat de maatregel daadwerkelijk wordt uitgevoerd.
6. Gerelateerde documenten (1) Format risicoanalyse (2) Risicoanalyse IPC WK zwemmen 2010
Alle rechten voorbehouden. Niets uit deze uitgave mag worden verveelvoudigd, opgeslagen in een geautomatiseerd gegevensbestand, of openbaar gemaakt, in enige vorm of op enige wijze, hetzij elektronisch, mechanisch, door printouts, kopieën, of op welke andere manier dan ook, zonder voorafgaande schriftelijke toestemming van de auteurs. © Olympisch Vuur 2010. Pagina 7 van 7