| |
Risicomanagement, hoe heurt dat eigenlijk?
18 november 2011 • Ype Wijnia
beheren risico's
De afgelopen jaren zijn veel bedrijven die in het beheer van infrastructuren actief zijn overgestapt van klassiek onderhoud en beheer naar het modernere Asset Management. Vrijwel iedereen die de overstap gemaakt heeft, spreekt zich publiekelijk uit over het belang van risicomanagement binnen Asset Management.
Toch valt op dat het daar vaak bij blijft. Er wordt wel gesproken over risicomanagement maar klinkende resultaten blijven uit. Veel risicomanagers excuseren zich daar min of meer voor door te stellen dat ze een faciliterende rol hebben, en dat de business de inhoud moet doen. Excusez les mots, maar dat is de grootste onzin die er bestaat. Juist risicomanagement is het vakgebied waar inhoud en proces nu net niet te scheiden zijn. Een klein voorbeeld. Neem het risico van inbraak. Als je iemand de opdracht geeft om het inbraakrisico te managen dan zal de een kiezen voor een verzekering, een ander legt een alarmsysteem aan en de derde neemt een waakhond. Eigenlijk is dat wel vreemd, dat voor hetzelfde probleem 3 verschillende oplossingen gekozen worden. De enige verklaring is dan ook dat het oplossingen voor verschillende problemen zijn. Als de financiële schade van een inbraak als probleem wordt gezien dan is een verzekering een goede oplossing, bij het gedoe en de rotzooi van een inbraak is voorkomen met een alarminstallatie beter, en als het gevoel van onveiligheid belangrijk is dan is een hond zo’n gekke keuze nog niet. Met andere woorden, je kan risico’s pas managen als je weet wat het probleem echt is, dus welke waarden gevaar lopen. Bij het inbraakrisico voor een huis heeft de eigenaar alle vrijheid om die afweging zelf te maken, maar in een bedrijf zal toch centraal aangegeven moeten worden wat belangrijk is (bijvoorbeeld via de bekende trits missie, visie en strategie). Pas dan kan de business gaan aangeven hoe de waarden en doelstellingen gevaar kunnen lopen. Echter, in het begin van risicomanagement zijn die waarden en doelstellingen helemaal niet zo helder, tenminste niet binnen de infrabedrijven. Ze doen gewoon wat ze altijd hebben gedaan, en het waardesysteem is nauwelijks expliciet. Als je in zo’n situatie alleen maar optreedt als procesbegeleider dan zit al snel iedereen met de handen in het haar (behalve de faciliterende risicomanager natuurlijk, want er hebben vast fantastische discussies plaatsgevonden). Maar hoe moet je het dan wel doen?
Zoals al gesteld is het allerbelangrijkste voor risicomanagement het bestaan van een coherent geformaliseerd waardesysteem. Zonder doelstelling kan je immers geen risico lopen. Een praktische weg om het waardesysteem te formaliseren is het opstellen van een risicomatrix. Een risicomatrix is een tabel met langs de ene as omschrijvingen van effecten en hun classificatie, en op de andere as de omschrijving van kansen en frequenties. In de tabel zelf staat welk risiconiveau wordt toegekend aan de combinaties van kans en effect. De tabel hieronder geeft een voorbeeld.
Let wel, het gaat om het opstellen van de matrix, niet om het hebben van de matrix. Inzicht in wat belangrijk is ontstaat namelijk in de discussie die je voert over welke waarden belangrijk zijn voor het bedrijf, wanneer een impact op een waarde ernstig of catastrofaal wordt, en bij hoe vaak van welke impact een risico onacceptabel wordt. Bij het domweg kopiëren van de matrix van een ander heb je misschien wel een bruikbaar instrument, maar als de wereld verandert kan je dat niet meer aanpassen.
In het opstellen van een risicomatrix kan overigens nog steeds van alles fout gaan. Nog afgezien van de discussie over kleuren, naamgeving en oriëntatie (arbitrair maar wel belangrijk voor een consistent beeld) zijn er een aantal valkuilen waar vaak ingetrapt wordt. De eerste is dat effecten met hetzelfde label toch niet even erg zijn. Normaal gesproken zou je indifferent moeten zijn tussen twee kwaden van gelijk gewicht. Als je toch een voorkeur hebt was het gewicht blijkbaar niet gelijk. De tweede valkuil heeft te maken met nauwkeurigheid. Als je effecten en kansen op 5 niveaus kan kwalificeren, dan zou je verwachten dat er ook 5 risiconiveaus zijn. De volgende valkuil is het te gemakkelijk toekennen van de term ontoelaatbaar risico. Als iets echt ontoelaatbaar zijn, moet je bereid zijn alle toelaatbare dingen te doen om dat risico te beperken, en vaak is dat toch niet zo. Een ontoelaatbaar risico dat uiteindelijk geaccepteerd wordt is de facto niet ontoelaatbaar. De laatste belangrijke valkuil tenslotte is het opnemen van de risico’s zelf in de effectbeschrijving. Een typisch voorbeeld gaat over de toestand van de assets, bijvoorbeeld het verroest zijn. Als dit direct in de effectzijde geplaatst wordt (even chargerend: het verroest zijn van een pijp is catastrofaal) dan ontstaat een cirkelredenering, alsof het verroest zijn van de pijp uit zichzelf erg is. Het gaat er natuurlijk om dat een verroeste pijp kan lekken/scheuren/breken, waardoor er materiaal naar buiten stroomt met alle gevolgen (verlies van waardevolle grondstoffen, milieuvervuiling, gevaarlijke situatie) van dien. Het verroest zijn van de pijp is erg omdat deze gevolgen op kunnen treden, niet om de roest.
Dat roept wel de vraag op wat een risico eigenlijk is. Vaak wordt geroepen “risico = kans maal effect”, maar dat is de kwantitatieve benadering van het begrip, zeg maar de verwachte hoeveelheid ellende. Risico is dan een maat. Bij risico-inventarisatie draait het juist om het benoemen van de manieren waarop die ellende kan ontstaan. Een risico is in die zin een entiteit, gebeurtenis die de waarden op een negatieve manier kan beïnvloeden. Om onderscheid tussen deze twee verschillende concepten te maken kan het handig zijn om te spreken over risico als het over de gebeurtenis gaat, en over exposure als het om de verwachte waarde gaat. Dit gaat overigens nog voorbij of risico als entiteit wel bestaat. Moderne inzichten wijzen erop dat een risico niet een objectief onderdeel is van de werkelijkheid waaraan je kunt meten, maar een door de waarnemer opgelegde structuur aan de mogelijke gebeurtenissen in die werkelijkheid. Die mogelijke gebeurtenissen zijn echt (in ieder geval als ze optreden), maar de structurering is gewoon handig, en kan ingewisseld worden indien iets anders beter is. Kortom, een risico is een abstractie maar niet een objectief ding.
Dit laatste is ook de belangrijkste reden waarom je proces en inhoud niet kunt scheiden in risicomanagement. De risico’s komen niet uit de werkelijkheid, ze liggen daar niet te wachten tot ze ontdekt worden, nee, ze ontstaan uit de mogelijkheden om er binnen de structuur en het waardesysteem van het bedrijf wat aan te doen. Als je enige gereedschap een hamer is kan je moeilijk anders dan alle problemen als spijker te beschouwen. Het structureren van de bedreigingen voor een bedrijf op zo’n manier dat de business er een efficiënte oplossing voor ziet is de uitdaging voor de risicomanager. Dit is niet faciliterend maar eerder vormend. Dat dit structureren niet gemakkelijk is staat buiten kijf, maar als je het als vakman niet kunt, hoe kun je dan verwachten dat de leken in de business het wel kunnen? Kortom, risicomanagers aller landen, wees niet bang vuile handen te maken en help de business daadwerkelijk de waarde van het bedrijf te verbeteren. Anders is het alleen maar produceren van papier waarop mensen zaken invullen die ze niet begrijpen, en dat heeft in geen enkel waardesysteem toegevoegde waarde.
Ype Wijnia is partner bij AssetResolutions B.V., een bedrijf dat hij samen met John de Croon heeft opgericht. Beurtelings geven ze in deze 2 wekelijkse column hun visie op een aspect van asset management. De columns staan gepubliceerd op de website van AssetResolutions, www.assetresolutions.nl/nl/column
<< terug naar overzicht
|
