Het belang van risicomitigatie

 

Op jonge leeftijd leren we al met risico’s om te gaan, oftewel wanneer en hoe moeten we in welke gevallen risico’s verkleinen (mitigeren). Kinderen leren bijvoorbeeld al snel om naar links, rechts en weer links te kijken voordat ze de straat oversteken. Zowel op het werk als in ons persoonlijke leven beoordelen we, zonder dat we er bewust van zijn, iedere dag risico’s en nemen we onbewust maatregelen. We houden ons vast aan een leuning, zodat we niet van de trap vallen en we nemen een paraplu mee naar buiten om niet nat te worden, als er kans op regen is. We zijn constant bezig met het beoordelen van risico's en het bepalen of en in hoeverre, afhankelijk van onze risk appetite, we een risico willen lopen. Door onze risk appetite wordt onder andere bepaald of we een risicomijdend of risicotolerant persoon zijn. Zo is risicomanagement altijd al een inherent onderdeel van ons leven geweest.

 

Ook iedere organisatie loopt en neemt risico’s. Een ondernemer neemt altijd risico’s, dat hoort bij het ondernemen. Het is alleen belangrijk om bewust keuzes te maken over welke risico’s je wel of niet wilt lopen en de mate waarin je dat wilt. Hiervoor moet je je risico’s eerst kennen en inventariseren. Daarnaast kun je de risico’s koppelen aan je organisatiedoelen. Per doel kun je de risk appetite van de organisatie bepalen. Om het ene doel te halen wil je meer risico lopen dan voor het behalen van een ander doel. Voor doelen rondom een nieuwe productintroductie wil je meer risico lopen dan voor de doelen rondom je bestaande producten waar je nu je geld mee verdient. Afhankelijk van je risk appetite en de grote van het risico kun je dan maatregelen nemen om het risico te verkleinen. Hiervoor bestaan een zestal risico behandelingsstrategieën:

 

 

Niet mitigeren

 

1. Acceptatie

 

Allereerst kun je ervoor kiezen om een risico simpelweg te accepteren. Dus ervoor kiezen niets te doen aan het risico. Dit is vaak het geval als het risico (kans x impact) kleiner is dan de risk appetite (de mate waarin je risico’s wilt lopen). Er zijn ook risico’s waar het veel meer geld kost om het risico te mitigeren dan dat de schade zal zijn. In een dergelijk geval ben je snel geneigd om het risico te accepteren. Ook als het risico geen invloed heeft op een doel van je organisatie, dan kun je een risico accepteren. Het risico heeft in dit geval geen invloed op je strategie en het succes van je organisatie. Uitzonderingen zijn risico’s die je op basis van wet- en regelgeving moet mitigeren.

 

 

Wel mitigeren

 

Is een risico (kans x impact) te groot ten opzichte van de risk appetite, dan zou je maatregelen moeten nemen om het risico te mitigeren. Je kunt maatregelen nemen om de kans van optreden van het risico te verkleinen of om de impact te verkleinen als het risico toch optreedt. Hiervoor zijn de volgende mitigatie strategieën aanwezig:

 

 

Strategieën gericht op het verkleinen van de kans van optreden

 

2. Vermijding

 

Risicovermijding is kortgezegd het vermijden van acties of het stoppen van activiteiten waarvan wordt vermoed dat ze een bepaald risico met zich meebrengen. Deze risicomitigatie strategie wordt vaak gebruikt wanneer de gevolgen van een risico een te grote impact hebben en de kosten van de mitigatie van het risico niet gerechtvaardigd kunnen worden. Een organisatie kan er bijvoorbeeld voor kiezen om bepaalde zakelijke activiteiten of praktijken niet te ondernemen om blootstelling aan het risico te voorkomen. Denk hierbij aan het beperken van investeringen of het stoppen van activiteiten in potentiële oorlogsgebieden of landen, zoals in de USA, met te grote aansprakelijkheid risico’s. Als je de activiteit stopt (of niet start), loop je de gerelateerde risico’s ook niet meer.

 

3. Preventie

 

Met deze strategie onderneem je preventieve maatregelen om de kans dat een risicogebeurtenis plaatsvindt te verkleinen. Hiervoor moeten de oorzaken van een risico in kaart gebracht worden om vervolgens maatregelen te treffen die de kans verkleinen dat de oorzaak zich voordoet. Zo kan een bliksemafleider ervoor zorgen dat er geen brand ontstaat door blikseminslag. Of je zorgt er bijvoorbeeld voor dat er van twee personen digitale handtekeningen nodig zijn om geld over te maken om financiële fraude te voorkomen en je plaats hekken om een etagevloer op een bouwplaats, zodat mensen niet naar beneden kunnen vallen.

 

 

Strategieën gericht op het verkleinen van de impact als het risico toch optreedt

 

4. Repressie

 

Met repressieve maatregelen probeer je de impact van de gevolgen van een risico te verkleinen als het risico toch optreedt. Je brengt hiervoor dus de gevolgen in kaart en kijkt welke maatregelen je kunt nemen om de impact hiervan te beperken. Zo zorgen branddetectie, een sprinklerinstallatie en een ontruimingsinstallatie ervoor dat de schade door brand wordt beperkt. Regelmatige back-ups zorgen ervoor dat er zo min mogelijk data verloren gaat door malware of een kapotte harde schijf.

 

5. Verleggen / Overdragen

 

In het geval van risico-overdracht zorg je ervoor dat je de financiële gevolgen van een risico bij een derde partij neerlegt. Denk hierbij aan het afsluiten van een verzekering om bepaalde risico’s af te dekken. De financiële schade als het risico optreedt wordt dan door de verzekeraar betaald. Een ander voorbeeld zijn algemene voorwaarden waarin je het risico van de voor een klant opgeslagen goederen of het risico tijdens transport bij de klant neerlegt. Gebeurt er iets met de goederen dan is dit het probleem van de klant.

 

6. Resilience

 

Resilience (veerkracht), is gericht op het vergroten van de weerbaarheid van je organisatie tegen risico’s in het algemeen. Resilience is de weerbaarheid van een organisatie die wordt bepaald door een combinatie van de flexibiliteit en het absorptievermogen van een organisatie. Bij flexibiliteit kun je denken aan de handelingssnelheid van het (top)management, tot korte doorlooptijden van het aanpassen van polisvoorwaarden. Het absorptievermogen bepaalt hoeveel klappen een organisatie kan incasseren. Het eigen vermogen, de liquiditeit en de aandeelhoudersstructuur bepalen mede welke financiële klappen een organisatie kan incasseren. De weerbaarheid van medewerkers zal lager zijn in situaties van langdurige overbelasting of een ongezonde werkatmosfeer. Een grotere diversiteit aan producten, markten en klanten maakt de kwetsbaarheid op onderdelen kleiner.

 

 

Conclusie

 

Er bestaat geen standaard manier van risicomitigatie. De strategie waar je voor kiest hangt af van het type risico, de kans van optreden, de impact op je organisatie en de kosten om het risico te kunnen mitigeren. Voor grotere risico’s worden er in de praktijk mitigatie strategieën gecombineerd. Bijvoorbeeld voor het risico van brand, neem je preventieve maatregelen om de kans op een brand te verkleinen, repressieve maatregelen om de schade bij brand te beperken en verleg je de financiële schade van een brand naar een verzekeraar.

 

Een gekozen mitigatie strategie moet je daarnaast periodiek onder de loep nemen. Hiervoor zul je je risico’s periodiek moeten herevalueren op eventuele wijzigingen in de kans en impact en op een eventuele verandering van de risk appetite door veranderende omstandigheden.

 

Belangrijk is dat je voor je organisatie, voor programma’s en projecten en voor andere activiteiten altijd je risico’s in kaart brengt en bepaald of je ze aan wilt pakken. Op deze wijze zorg je dat je altijd risicogestuurd te werk gaat en zorg je ervoor dat je steeds de juiste beslissingen kunt nemen om je doelen te behalen. Hiervoor is goede risicomanagement software nodig, zodat je altijd voorbereid bent in deze complexe en steeds sneller veranderende wereld.

 

Meer weten over risicobeheersing? Lees dan hier verder!