| |
Wat is risico?
4 april 2014 • Ype Wijnia
beheren risico's
Binnen asset management is risico management een zeer belangrijk onderdeel. Dat was al zo in de eerste formalisaties van asset management (zoals in het International Infrastructure management Manual), en het werd helemaal duidelijk in de definitie van asset management in PAS55:
Systematic and coordinated activities and practices through which an organization optimally manages its physical assets, and their associated performances, risks and expenditures over their lifecycle for the purpose of achieving its organizational strategic plan.
Bovendien waren er veel eisen opgenomen die te maken hadden met risico management, zoals aanwezigheid van een proces, methodologie, coherentie met het organisatie brede risicobeleid en dergelijke. Alleen, wat met risico werd bedoeld, wordt verder niet toegelicht, de term risico is niet opgenomen in de lijst met definities. Blijkbaar werd aangenomen dat iedereen wel snapte wat risico was.
In de nieuwste norm op het gebied van asset management, ISO55000[1], is risico management zo mogelijk nog belangrijker geworden. Het is zo’n integraal onderdeel van asset management geworden dat er niet eens meer een eigen normparagraaf meer heeft, het zit overal in. En voor de verandering is het begrip risico nu wel gedefinieerd. Met het opgenomen zijn van een definitie is helaas wel het enige positieve gezegd. ISO 55000 gebruikt namelijk de ISO31000 definitie van risico en die luidt[2]:
Risico is het effect van onzekerheid op de doelstellingen (risk is the effect of uncertainty on objectives)
Er zullen weinig mensen zijn die dit zullen herkennen als een omschrijving van risico. Meestal wordt risico gezien als een kwade kans, de mogelijkheid dat je iets ergs overkomt. Soms wordt risico gezien als het verwachte effect van die kwade kans (risico is kans maal effect), en in de wat meer geavanceerde benaderingen wordt risico vaak gezien als een gebeurtenis waarbij verschillende effecten kunnen optreden. Om een risico te beoordelen is namelijk inmiddels wel duidelijk dat je niet alleen naar het verwachte effect moet kijken, maar ook de extremen moet meewegen en ook de acceptatie of perceptie van het risico is belangrijk. Uiteraard speelt onzekerheid een rol (zowel in het optreden van de gebeurtenis als in de effecten van de gebeurtenis), maar in al deze definities is er toch ergens een concept van een ongewenste gebeurtenis aanwezig. Die lijkt in de nieuwe norm helemaal verdwenen. Zijn ze nu helemaal gek geworden bij ISO, of hebben ze eindelijk een universele definitie gevonden?
In zekere zin hebben ze bij ISO wel een punt. Je hebt een asset om een bepaalde doelstelling te realiseren, en alles wat ervoor kan zorgen dat je van je koers afwijkt kan als een risico beschouwd worden. Alleen, en nu gaan we even de Homo Neerlandicus uithangen, dat staat er niet. Er wordt namelijk niet gesproken over de realisatie van doelstellingen, maar over de doelstellingen zelf. En waarom is het een risico als onzekerheid invloed heeft op de doelstellingen? Als je onzeker bent of de doelstellingen realistisch zijn, dan kan je wellicht een iets minder ambitieus doel stellen. Maar daarmee is het effect van onzekerheid op doelstellingen een risico beheersmaatregel, en geen risico. Dus waar heeft men het over? Er is natuurlijk een risico dat we de definitie niet goed vertaald hebben, maar dat achten we verwaarloosbaar.
Laten we er voor de verandering nu eens vanuit gaan dat men onze eerste interpretatie bedoelde, het effect van onzekerheid op het behalen van doelstellingen. Dat snijdt iets meer hout, je zou zelfs wel kunnen stellen dat je zonder doelstellingen geen risico’s kunt hebben, er zijn dan immers geen ongewenste gebeurtenissen. Alleen, dat is een filosofische benadering die in de dagelijkse praktijk helaas niet zo heel nuttig is. Veel doelstellingen zijn namelijk helemaal niet expliciet geformuleerd, maar veeleer impliciet, domweg omdat ze zo verschrikkelijk vanzelfsprekend zijn. Iedereen snapt dat het een risico is om een drukke snelweg te voet over te steken, maar wat is de bijbehorende doelstelling? Binnen een bepaalde tijd aan de overkant komen? Of zou het niet gewoon de doelstelling zijn om te blijven leven? En wat is eigenlijk de onzekerheid? De kans dat je het wel of niet haalt? Terwijl de “klassieke” formulering van risico veel helderder is: het risico is dat je door een auto aangereden wordt en overlijdt.
Dit bezwaar geldt net zo hard voor assets als voor je eigen leven. Natuurlijk, met sommige assets wordt productie gemaakt, en kan je dus werkelijk over productiedoelstellingen praten die mogelijk niet gehaald worden. Maar veel assets moeten het gewoon doen, en het risico is dat ze kapot gaan, of slechter gaan werken. Bovendien, doelstellingen worden zelden op het niveau van de individuele asset geformuleerd, maar eerder op het systeem (fabriek, infrastructuur, aandelenportfolio). Dit hebben we geprobeerd weer te geven in het onderstaande diagram.
Aan de basis staan de issues of knelpunten, problemen die zich voordoen aan een specifieke asset op een specifieke locatie. Bijvoorbeeld: Lager x rammelt, pomp y lekt. Bij deze acute knelpunten is er geen onzekerheid. Het knelpunt kan ook potentieel zijn: kabel z zou overbelast kunnen worden in een storingssituatie. Hierbij is er volledige onzekerheid, want het acute probleem kan zich wel of niet voordoen. Als je zo’n lokaal probleem generaliseert, dan wordt het een risico: Overbelasting van kabels in een storingssituatie. Dit kan zich op vele plekken voordoen. Ook bij de gegeneraliseerde issues is er onzekerheid, maar die is (vanuit management perspectief) minder groot. Per jaar zullen er een aantal overbelastingen voor doen (het aantal is redelijk zeker), maar je weet alleen niet waar. Als je nu alle risico’s bij elkaar telt, krijg je de totale impact op de systeemperformance, waar vaak een doelstelling voor is afgesproken. De onzekerheid in deze performance is weer kleiner dan bij de risico’s. Issues en risico’s kun je goed vaststellen zonder dat je de doelstelling kent, maar de vraag of de performance conform doelstelling is kan alleen vastgesteld worden als je de afspraak kent. Dat is de reden dat we problemen op dit niveau een overtreding noemen. De ISO definitie van risico heeft dus eigenlijk alleen betekenis op het systeem niveau.
Is dit nu alles wat er over de ISO definitie van risico te zeggen valt? Gelukkig niet. Voor passieve assets zoals infrastructuren, maar ook je eigen leven, worden doelstelling geformuleerd in termen van het uitblijven van risico. De definitie wordt dan: risico is het effect van onzekerheid op het uitblijven van risico. Daarmee lijkt me vrij duidelijk dat de ISO zich 100% heeft gecertificeerd voor de norm voor cirkelredeneringen.
John de Croon en Ype Wijnia zijn partner bij AssetResolutions B.V., een bedrijf dat ze samen hebben opgericht. Periodiek geven ze in deze column hun visie op een aspect van asset management. De columns staan gepubliceerd op de website van AssetResolutions, http://www.assetresolutions.nl/nl/column
[1] Deze norm bestaat uit 3 delen: 55000, de terminologie, 55001, de eisen en 55002, een toelichting. Als we het over iso55000 hebben bedoelen we de hele reeks, en eisen hebben betrekking op 55001
[2] Engels is origineel, nederlands is onze vertaling
<< terug naar overzicht
|
