Paul Klukhuhn MBA 11 maart www.risicomanagementacademie.nl

Risicomanagement: Inventarisatie & analyse

Paul Klukhuhn MBA 11 maart 2014

1www.risicomanagementacademie.nl

PROGRAMMA 09.00 - 12.30 Identificatie – Welkom & voorstelrondje – Definitie risicomanagement en risico – Context – Gezamenlijke case – Pauze 10.45 - 11.00 uur – Gezamenlijke case (vervolg) – Risicogebieden en categorieen Pauze 12.30 - 13.30 uur 13.30 – 17.00 Analyse – Soorten risico’s en analyse – Risicogedrag – Klassering gevolgen /kansen – Praktijkcase – Pauze 14.45 - 15.00 uur – Praktijkcase (vervolg) – Responses & rapportage Afsluiting & evaluatie 17.00 uur


Leerdoelen  Kennis van basisbegrippen risicomanagement en risico  Kennis van risico inventarisatie & analyse technieken en methoden  Toepassen van een risico inventarisatie en analyse in uw eigen praktijk


Identificatie


Feiten

  

Faillissement IJslandse banken: provincies en gemeenten hadden daar hoogrentende tegoeden (nog steeds bezig om terug te halen, c.q. afboeken vordering) Gemeente Duiven: fraude door een medewerker (€ 380.000, autorisatieproces) Gemeente Amsterdam: de werkelijke kosten van de Noord-Zuidlijn zijn veel hoger dan oorspronkelijk begroot en de aanleg duurt minstens 10 jaar langer dan oorspronkelijk gepland (interview: onvoldoende over risico’s gesproken, ontbreken risicobewustzijn, onduidelijke risico eigenaarschap)

(Onderzoek Schouten 2009) 5www.risicomanagementacademie.nl

Definitie risicomanagement

COSO ERM Internal Environment Objective Setting Event Identification Risk Assessment Risk Response Control Activities Information and Communication Monitoring

Enterprise Risk Management is een proces dat bewerkstelligd wordt door het bestuur van de onderneming, het management en ander personeel en wordt toegepast bij het formuleren van de strategie en binnen de gehele onderneming, ontworpen om potentiële gebeurtenissen die invloed zouden kunnen hebben op de onderneming te identificeren en om risico’s te managen zodat deze binnen de risicoacceptatiegraad vallen, om een redelijke zekerheid te bieden ten aanzien van het behalen van de ondernemingsdoelstellingen


Definitie risico

Een risico is: Een kans op het optreden van een ongewenste gebeurtenis met een gevolg (is dus negatief) voor betrokkene en heeft invloed op het behalen van de doelstellingen.


Relatie oorzaak, ongewenste gebeurtenis en gevolg Doel: Veilig wonen Ongewenste gebeurtenis:

Boom valt op huis

Gevolg: Onbewoonbaar huis

Oorzaak:

Bliksem treft boom Welke reacties?

Vermijden: Boom kappen

Reduceren: Bliksemafleider


Overdragen: Verzekeren

Accepteren: Zeer kleine kans

Risicomanagement proces

ISO31000 9www.risicomanagementacademie.nl

Voor identificatie bepalen context  Externe omgeving: Stakeholders, wetgeving maatschappelijke houding, politiek, economie, enz.

 Interne omgeving: Informatiestructuur, doelstellingen, cultuur, beleid & processen, kritische projecten, enz.


Vier varianten context 1

Hele organisatie (integraal)

2

Afdelingen/eenheden (lijn)

3

Processen (dwarsdoorsnede lijn)

4

Projecten (eenmalige activiteit)


Gezamenlijke case Case de reis naar het werk

Beschrijf:  Wat er niet goed kan gaan (ongewenste gebeurtenis);  Waardoor dat veroorzaakt wordt en;  Wat het gevolg ervan is. Omschrijf de ongewenste gebeurtenis zo concreet mogelijk


Risico omschrijving Onjuist

Juist

Betonrot

Het niet op tijd ontdekken van betonrot

Slechte leveranciers

Afspraken met leveranciers zijn niet duidelijk vastgesteld

Vergunningen op tijd?

Vergunningen worden niet op tijd verstrekt    


Een risico is geen vraag en bestaat niet uit één woord Wees zo concreet mogelijk Geef de juiste informatie (laat niet teveel weg) Oorzaken geven aanwijzingen voor maatregelen!

Risico omschrijving

Oorzaak

Gebeurtenis

Stroomuitval Fout software

Menselijke fout


Gevolg

Dienstverlening Uitval ICT

Verlies data

Schadeclaims

Techniek BowTie Alle gevolgen

Gevolgen

Basis Oorzaken

Alle oorzaken

Accident

Fault-tree 15www.risicomanagementacademie.nl

Event-tree

Meerdere gevolgen Effect 1 bijv. x doden

Negatieve gebeurtenis

Effect 2 y gewonden

Effect 3 schade gebouw Effect 4 verlies inkomsten


DROM-diagram Doelstelling

Risico’s

Oorzaken

Maatregelen

Onvoldoende doorgroei- / ontwikkelingsmogelijkheden Niet kunnen binden bestaand personeel

Krapte arbeidsmarkt (concurrentie / vergrijzing) Organisatiecultuur

Personeelsbestand sluit aan bij de behoefte van de organisatie en waarborgt een continue bedrijfsvoering

Werving / selectieprocedure onvoldoende Niet functionerende personeelsleden

Beoordelings / functioneringsgesprekken onvoldoende

Gevolgen

Ontbreken aanspreekcultuur Gronden voor ontslag onvoldoende gedocumenteerd Ontevredenheid bij het personeel (veranderende eisen / organisatie) Verhoging ziekteverzuim

Hoge werkdruk Persoonlijke gezondheid van medewerkers


Goede dossieropbouw

Techniek: Gebeurtenisboom Werk van links naar rechts. Gebeurtenis vindt wel of niet plaats. Spectrum van mogelijke gevolgen in rechter deel figuur.


Techniek: Foutenboom

Topgebeurtenis

Basisgebeurtenissen Voorwaardelijke verbanden (en / of)



Verder met de case Op reis naar het werk: schat de kans en impact in en geef de maatregelen aan


Gegevensverzameling      

Interviews Workshops Expertsessies Audits Deskresearch Checklist


Methode: identificatiestructuur

Systematische aanpak:  Soorten risico’s (risicocategorieën)

 Clusters van activiteiten (risicogebieden/objecten) − Zo min mogelijk overlap

− ‘Alle’ activiteiten


Risicogebieden & objecten

Gebieden: – Primaire / secundaire processen. Bijv.: leveren van producten, financiën – Subrisicogebieden Bijv.: salarisadministratie, belastingen

Objecten: – Projecten, gebouwen


Risicocategorieën          

Bedrijfsproces Financieel Imago / politiek Informatie / strategie Juridisch / aansprakelijkheid Letsel / veiligheid Materieel Milieu Personeel Product


Risicomatrix

Imago

Afdeling A

Afdeling B Afdeling C


Financieel

Juridisch

Analyse


Risicomanagement proces


Soorten risico’s  Zuivere risico’s: – Debiteurenrisico – Brand

P

-

+

P

 Speculatieve risico’s: – Rente – Winstprognoses – Valuta 29www.risicomanagementacademie.nl

0

0

+

Soorten risico’s

Risico's op strategische niveau

Risico's op tactisch niveau

Risico's op operationeel niveau


Opmerkingen analyse  Zoveel mogelijk informatie betrekken  Inschatting blijft subjectief, door overleg streven naar semi-objectiviteit  Inschatting afhankelijk van risicoperceptie en gedrag


Risicogedrag • Risicomijdend: actief uit de weg gaan, voorzichtig redenerend, minder bereid nieuwe zaken uit te proberen • Risicozoekend: neemt risico's, probeert nieuwe zaken, te optimistisch, houdt van een uitdaging, onderschat de bedreigingen • Risiconeutraal: het ideaal, comfortabel met de besluitvorming, weloverwogen, brengt maatregelen in lijn met de kansen en bedreigingen (in proportie) 32www.risicomanagementacademie.nl

Risicoperceptie: wat zie je?

Welke lijn is langer?

Dezelfde feiten andere uitleg: Subjectiviteit in beoordeling! Wat zie je? 33www.risicomanagementacademie.nl

Risicoperceptie

Hoe zie je dit?  7 % van de patiënten die een behandeling ondergaat, overlijdt binnen 5 jaar  93 % van de patiënten zal de 5 jaar overleven Dezelfde boodschap verschillende risico’s?


Risicoperceptie Grote risico’s worden onderschat als:  Men het risico zelf loopt;  Men denkt het risico te kunnen beheersen door eigen handelen;  Het voor de waarnemer een bekend risico is;  Het aantal mensen dat blootgesteld wordt relatief laag is.


Voor- en nadelen risicoanalyse door een groep

Nadelen:  Vaak geldt de mening van de hoogste status in de groep  Dominante personen kunnen stempel drukken  Aanpassen eigen mening aan groep  Terughoudendheid van deelnemers

Voordelen:  Breder perspectief  Geen persoonlijke voorkeur 36www.risicomanagementacademie.nl

Case risicoanalyse praktijk Bedenk 3 belangrijke risico’s waarbij je aangeeft wat de oorzaken, ongewenste gebeurtenis en gevolgen zijn Keuze uit:  Imago risico’s  Financiële risico’s  Letsel/Veiligheidsrisico’s  Milieu risico’s


Soorten analyse  Kwantitatief: vaste numerieke waarden (met een foutenmarge) voor zowel de kans als voor de gevolgen  Kwalitatief: representatie van waarden van zowel de uitkomst als de kans door gebruik van intervalschalen


Kansklassen Kans

Klasse

Percentage

Referentiebeeld

1

10%

< of 1x per 10 jaar

2

30%

1x per 5-10 jaar

3

50%

1x per 2-5 jaar

4

70%

1x per 1-2 jaar

5

90%

1x per jaar of >


Gevolgen

Klasse

Klasse

Imago gevolg

Referentiebeeld

1

Zeer klein

Individueel

2

Klein

Persoonlijke kring

3

Midden

Plaatselijke pers

4

Groot

Regionale pers

5

Zeer groot

Landelijke pers

Financieel gevolg

1

X <€ 25.000

Klasse

Tijd gevolg

1

0-1 week

2

€ 25.000 < X < € 100.000

2

1-4 weken

3

€ 100.000 < X < € 250.000

3

4-8 weken

4

€ 250.000 < X < € 500.000

4

8-26 weken

5

> 26 weken

5

€ 500.000 < X


Gevolgen Klasse

Letsel gevolg

Referentiebeeld

1

Zeer klein

Individueel

2

Klein

Gezin/kleine groep

3

Midden

Wijk/plaatselijk

4

Groot

Regionaal

5

Zeer groot

Maatschappij

Klasse

Milieu gevolg

Referentiebeeld

1

Zeer klein

Marginale verontreiniging

2

Klein

Beperkte verontreiniging, herstel wenselijk

3

Midden

Verontreiniging, herstel noodzakelijk

4

Groot

Onacceptabele verontreiniging, deels herstelbaar

5

Zeer groot

Desastreuze verontreiniging, onherstelbaar


Inschatting kans  Zijn er vergelijkbare projecten en/of activiteiten  Is het voorgekomen in mijn organisatie?  Is het voorgekomen bij een andere organisatie? Oorzaak

Gebeurtenis

Stroomuitval Fout software Menselijke fout KANS 42www.risicomanagementacademie.nl

Gevolg Dienstverlening

Uitval ICT

Verlies data Schadeclaims

Inschatting gevolg Werk met concrete gevolgen

Oorzaak

Gebeurtenis

Stroomuitval Fout software Menselijke fout


Gevolg Dienstverlening

Uitval ICT

Verlies data Schadeclaims

Prioriteren Risicoscore = kans x gevolg

Voorbeeld Kans: 2 (redelijk) Gevolg: 4 (groot) Risicoscore = 2 x 4 = 8


Bruto/netto risico  Bruto risico – Risico voor het toepassen van maatregelen – Vertrekpunt voor beheersing  Netto risico – Risico na het toepassen van maatregelen – Reële impact van risico’s


Verder met case We gaan verder met de analyse. Je gaat de geïdentificeerde risico’s kwantificeren en de maatregelen per risico benoemen, denk aan bruto en netto risico’s


Risicomatrix

Belangrijk: benoemen risico-eigenaar!


Risicoresponse  Vermijden. Dit houdt in dat het beleid waar een risico door ontstaat, wordt beëindigd, op een andere manier wordt vorm gegeven of geen beleid gestart wordt dat een risico met zich meebrengt. Ook kunnen werkprocessen zodanig ingevuld zijn, dat op die manier bepaalde risico’s worden vermeden;  Verminderen. Door het risico af te dekken middels een verzekering, een voorziening of een ander budget in de begroting. Hiermee worden de gevolgen van een risico dus beperkt. Tevens kan bij verminderen gedacht worden aan het aanpakken of wegnemen van de oorzaak van het risico;  Overdragen. Dit kan door het beleid dat een risico met zich meebrengt, uit te laten voeren door een andere betrokken partij, die daarbij ook de financiële risico’s overneemt;  Accepteren. Als een risico niet wordt vermeden, verminderd of wordt overgedragen, dan wordt een risico geaccepteerd en zal de eventuele financiële schade volledig middels de weerstandscapaciteit moeten worden afgedekt. Dit betekent niet dat het risico niet beïnvloedbaar is en daarom maar geaccepteerd moet worden. Het betekent dat het risico op dit moment geaccepteerd wordt en niet op één of andere wijze is afgedekt.


Communicatie & rapportage


Paul Klukhuhn MBA 11 maart www.risicomanagementacademie.nl

Recommend Documents