Strategisch risicomanagement: een onmisbaar instrument voor strategierealisatie

Midden jaren tachtig studeerde ik bedrijfseconomie in Rotterdam. In mijn doctoraalfase volgde ik een module risk management. Ik had er hoge verwachtingen van. Het bleek echter een minder spannend vak dan ik had verwacht. Het ging vooral over risicobeheersing in de verzekeringswereld. Ik kreeg te maken met begrippen als levensverwachting, sterftetabellen, ‘loss control’ en ‘act of God’. Vooral die laatste term is mij bijgebleven. Daarmee worden in Angelsaksiche landen allerhande onvoorspelbare gebeurtenissen zoals natuurrampen aangeduid waarvoor geen mens verantwoordelijk is.

Inmiddels zijn we ruim 25 jaar verder in de tijd. Risicomanagement heeft een vlucht genomen, is geprofessionaliseerd en heeft een plaats gekregen op de managementagenda van iedere zichzelf respecterende organisatie. Naast omzetgroei en productiviteitsverbetering vormt risicomanagement als derde poot de basis voor waardecreatie. In veel organisaties ligt de focus van risicomanagement op operatie en compliance. Strategische risico’s krijgen lang niet altijd de aandacht die ze verdienen. Onbegrijpelijk omdat ze van grote invloed kunnen zijn op de vraag of de organisatiestrategie wordt gerealiseerd. Daarom beschrijf ik in dit artikel hoe je relatief eenvoudig strategische risico’s in kaart brengt.

Hoe strategisch risicomanagement vormgeven?

Om risico’s te beheersen moet je ze eerst kennen.  Wanneer je de literatuur er op na slaat kom je lange lijsten tegen met strategische risico’s.  Te denken valt aan financiële risico’s, klant-, brand- en reputatieschaderisico’s; logistieke risico’s, innovatierisico’s, IT-risico’s et cetera. Hoe breng je nu structuur aan en richt je de focus op de risico’s die er echt toe doen?
Wanneer je al een strategiekaart en balanced scorecard hebt ontwikkeld is het aanbrengen van structuur niet meer zo moeilijk.  Je kent namelijk al de strategische doelen en de relaties daartussen. Je weet ook dat dit de zaken zijn die cruciaal zijn voor het toekomstig succes van de organisatie. Strategisch risicomanagement kan zich vervolgens concentreren op de risico’s die verbonden zijn aan de realisatie van de doelstellingen in de strategiekaart. De strategiekaart biedt het natuurlijk raamwerk om risico’s te identificeren, ze te matigen en om ze systematisch te beheersen door een geïntegreerde aanpak.
Om dit te realiseren beveelt Robert Kaplan, één van de bedenkers van de strategiekaart en balanced scorecard, aan als hulpmiddel een aparte risico scorecard te ontwikkelen. De reden daarvoor is dat meten en managen van risico’s behoorlijk verschilt van het meten en managen van een strategie.

Hoe ziet een risico scorecard er uit?

De gedachte achter een risico scorecard is dat voor ieder strategisch doel in de strategiekaart managers risicogebeurtenissen kunnen identificeren die er toe leiden dat de gewenste prestaties niet worden gerealiseerd. Bij zo’n gebeurtenis horen maatstaven die als ‘early warning’ systeem werken. Afwijkingen, of het nu gaat om een trendbreuk of het overschrijden van een drempelwaarde, kunnen dan onmiddellijk tot managementactie leiden.

Een voorbeeld in een ziekenhuis of zorginstelling:
Strategische doelstelling binnen het perspectief interne processen:

  • verbeteren van de patiëntveiligheid.

Risicogebeurtenissen die zijn geïdentificeerd:

  • verstrekken verkeerde medicatie;
  • foutieve voedselverstrekking (allergie).

Maatstaven:

  • percentage cliënten dat in de afgelopen dertig dagen te maken heeft gehad met een medicijnincident;
  • aantal meldingen voedselallergie met als oorzaak foutieve voedselverstrekking.

Van iedere risicogebeurtenis kan de kans dat de gebeurtenis zich voordoet en de impact van de gevolgen daarvan worden bepaald. Zogenaamde key risk indicators (vergelijkbaar met Key Performance Indicators) en risicobeheersings-initiatieven moeten er vervolgens voor zorgen dat de risicokans en de gevolgen van de meest significante risico’s beperkt blijven. Het hulpmiddel wat daarbij wordt ingezet is een zogenaamde heat map. Een goed Nederlands woord is daar nog niet voor. Je zou het het hitte- of warmtekaart kunnen noemen. De heat map is een matrix waarin op een as de kansen dat een gebeurtenis zich voordoet wordt afgezet tegen een andere as waarop de gevolgen (impact) in kaart worden gebracht. Aan de hand van de kleuren zie je in één oogopslag welke strategische risico’s de meeste aandacht behoeven. In figuur 1 is een voorbeeld opgenomen.

Strategisch risicomanagement: Heat map
Figuur 1: Voorbeeld van een heat map in het kader van strategisch risicomanagement

 

 

Beide assen worden op een schaal van 1 tot 5 ingeschaald. Door kans en gevolgen met elkaar te vermenigvuldigen ontstaat een gekwantificeerd beeld van de ernst van de risico’s. Risicogebeurtenissen met een score van 15 of hoger zijn het meest waarschijnlijk dat ze voorkomen en hebben de grootste impact. Deze risico’s krijgen prioriteit bij het bedenken en realiseren van beheersings- en preventiemaatregelen.

Wie gaat er mee aan de slag?

De hiervoor beschreven benadering is een praktische manier om strategisch risicomanagement vorm te geven. Het geeft een werkbare structuur en brengt compact en communiceerbaar alle relevante strategische risico’s in kaart. In de praktijk is het niet altijd even eenvoudig om risico’s, kansen en impact goed in te schatten. Werken in groepen helpt vaak om de zaak scherp te krijgen. Dit werk zomaar delegeren aan het midden management of professionals is niet verstandig. Strategisch risicomanagement vraagt juist ook actieve betrokkenheid van het topmanagement zelf. Het gaat hier immers tegelijkertijd om strategierealisatie en risicobeheersing. En daarmee om het succes van de organisatie.

Zijn hiermee alle belangrijke risico’s in kaart gebracht?

Waar het bij strategisch risico’s nog gaat om te benoemen en in te schatten risico’s is er nog een categorie risico’s. Het gaat om de zogenaamde ‘black swans’, bekend van het werk van Nassim Taleb. Dit zijn onvoorspelbare gebeurtenissen die zich nog niet eerder hebben voorgedaan maar wel het voortbestaan van de organisatie in potentie bedreigen. Ook daar zijn methoden voor om ze toch inzichtelijk te maken. In een vervolgartikel zal ik daar binnenkort meer over vertellen.

Gerelateerde berichten:

  • Geen gerelateerde berichten