| |
Risico-inventarisatie
9 maart 2012 • Ype Wijnia
beheren risico's
Een belangrijke stap binnen risicomanagement is altijd het opbouwen van een risicoregister, de zogenaamde risico inventarisatie. Kort samengevat is het risicoregister een lijst van alle zaken die fout kunnen gaan, samen met een inschatting van kans en effect van dat potentiële gevaar. Als het bedrijf een risicomatrix heeft dan volgt vaak ook nog het niveau (bijvoorbeeld Hoog, Midden, Laag) of de kleur (Rood, Oranje, Groen). Het belang van een dergelijke beoordeling is beperkt: aangeven of je er per se wat aan moet doen (rood), het blind moet accepteren (groen) of er nog eens over nadenken (oranje). Er zijn namelijk verschrikkelijk veel dingen die fout kunnen gaan. Als je je tegen al deze gevaren wilt wapenen (als dat al kan) dan heb je geen leven meer. Het middel zou dan erger zijn dan de kwaal. De risicobeoordeling is dus een pragmatisch prioriteringsmiddel om de alledaagse wereld vol gevaren te lijf te kunnen. Want door alleen aan de belangrijke risico’s aandacht te schenken (waarbij de beoordeling vaak ook nog hints geeft wat voor soort maatregel gepast is) hou je tijd over voor leuke dingen, zoals skiën, parachutespringen, roken, drinken en noem maar op. Zolang het risicoregister puur als een pragmatisch hulpmiddel wordt beschouwd werkt het prima. Het gaat echter fout zodra je meer met het risicoregister wilt. Het typische voorbeeld hiervan is het optellen van alle risico’s in het register om de totale hoeveelheid te verwachten ellende te bepalen. De verleiding is groot, want per risico is er immers kans en effect en dus een verwachte waarde. Alle verwachte waarden samen moeten toch een totaal opleveren, of niet soms?
Helaas is het antwoord nee. Er kunnen namelijk 2 zaken gebeuren: de eerste is dat de som van alle risico’s veel kleiner is dan wat je werkelijk aan ellende ziet. Dit speelt bijvoorbeeld in de financiële wereld, waar risico’s min of meer als onafhankelijk worden gezien. Er wordt dan onvoldoende rekening mee gehouden dat alle risico’s zich ook tegelijkertijd kunnen manifesteren. Dit treedt bijvoorbeeld op omdat onder bepaalde omstandigheden de manifestatie van één risico de oorzaak is van een ander risico. Als de beursindex snel daalt worden mensen bang en willen ze hun aandelen kwijt, waardoor de index nog verder zakt enzovoort. De kettingreactie is geboren en de systeemcrash een feit. Het omgekeerde is de bubble. Ondanks het feit dat bubbles en crashes al vele malen zijn voorgekomen (beginnend bij de tulpenmanie van de 17e eeuw) worden we er nog steeds door verrast.
Het tweede punt waar je tegenaan kunt lopen is dat de opgetelde hoeveelheid ellende veel groter is dan wat je werkelijk ziet. Stel bijvoorbeeld dat je alle gezondheidsgevaren op een rijtje zou zetten (roken, drinken, verkeersongevallen, genetische defecten, hartfalen, kanker enzovoort). Vervolgens laat je de overlijdenskans schatten en die tel je op. Het zou dan zo maar kunnen dat je volgens die berekening een keer of 3 per jaar dood zou moeten gaan; de werkelijke kans ligt gemiddeld veel dichter bij de eens per 100 jaar. De belangrijkste verklaring hiervoor is dat mensen verschrikkelijk slechte schatters zijn. Het laatste getal wat ze gehoord hebben heeft bijvoorbeeld invloed op hun schatting, of dat getal nu wat met het probleem te maken heeft of niet[1]. De professionele risicomanager lost dit meestal op door op zoek te gaan naar data. Maar daar treedt een tweede probleem op: de gewenste data is niet voorhanden omdat het gevaar zich nog niet gemanifesteerd heeft (wat is bijvoorbeeld de kans op een totale kernoorlog?) of de data bevat toch een soort filtering van de werkelijkheid. Een bekend voorbeeld is het aantal verkeersslachtoffers. Tel je daar alleen de mensen die direct overlijden na het ongeval, of ook degenen die in het ziekenhuis overlijden, of ook degenen nadat ze uit het ziekenhuis ontslagen zijn overlijden? En als iemand een verkeersongeval krijgt doordat die teveel gedronken heeft, telt die dan als verkeersslachtoffer of als drankslachtoffer? Dit probleem wordt vaak opgelost met hele strakke definities, maar dan nog zal het optellen van de uitgebreide lijst met risico’s tot een overschatting van de totale hoeveelheid te verwachten ellende leiden. Wat is hier aan de hand?
De verklaring is eigenlijk heel simpel. Ellende ontstaat namelijk niet zomaar, maar is een keten van oorzaak via een entiteit/asset met een reactie naar een gevolg. Zo’n keten wordt wel een risicoproces genoemd. Hieronder staat ons schema dat de meeste zaken die fout kunnen gaan in de distributie van energie (gas en elektriciteit) wel bevat.
In het algemeen zullen tijdens een risico inventarisatie aspecten van verschillende fasen in dit proces benoemd worden. Bij het onderstaande schema kunnen dat bijvoorbeeld graafschade (oorzaak), middenspanningskabels (asset), kortsluiting (reactie) en stroomuitval (gevolg) zijn. Klinkt niet gek voor een eerste ronde, zeker als je bedenkt dat graafschade 50% van de storingen veroorzaakt, de middenspanningskabel voor 50% van de totale uitval duur verantwoordelijk is en kortsluiting in de kabel voor 80% van de uitval zorgt. Maar bij elkaar geteld leidt dit tot 180% van de niet levering per jaar. Dat is wellicht wat veel. Punt is dat je zaken uit verschillende fasen niet bij elkaar mag optellen. Een aanzienlijk deel van de graafschades betreft namelijk de middenspanningskabel die vervolgens een kortsluiting geeft. Als je ze afzonderlijk bij elkaar telt, tel je dus zaken dubbel.
Nu zijn er natuurlijk slimmeriken die zeggen dat je dan alles maar in slechts één fase moet inventariseren om overlap te vermijden. In de praktijk werkt dat helaas niet. Een risico wordt namelijk in de fase benoemd waarin men verwacht de oplossing te vinden. Dus als men denkt iets te kunnen doen aan het zomaar in de buurt van kabels graven, ligt het voor de hand het risico graafschade te noemen. Het gaat dan immers om meer dan alleen 1 soort kabel of leiding. Maar bij het aanbrengen van pantsering in de kabels of het leggen van de kabel in een betonnen goot is er meer sprake van het risico van een kwetsbare kabel, omdat de bescherming dan ook tegen andere bronnen werkt.
Kortom, de lijst met risico’s mag er wel uit zien als een optelbare lijst, maar is dat niet. Een risicomanager doet er daarom goed aan zijn rekenmachine op te bergen en de set kleurpotloden van zolder te halen.
[1] Zie de al vaker aangehaalde artikelen van Tversky en Kahneman in eerdere columns van ons
Ype Wijnia is partner bij AssetResolutions B.V., een bedrijf dat hij samen met John de Croon heeft opgericht. Beurtelings geven ze in deze wekelijkse column hun visie op een aspect van asset management. De columns staan gepubliceerd op de website van AssetResolutions, www.assetresolutions.nl/nl/column
<< terug naar overzicht
|
