introductie in risicomanagement_komosie_6.12.13
TRANSCRIPT
©MGDequae_2013 1
Introductie in risicomanagement
Marie G. Dequae6 december 2013Kwadraet Gent
In opdracht van CollondSE met steun van de Vlaamse Overheid
©MGDequae_2013 2
agenda
9u00- 9u30: ontvangst deelnemers9u30-11u00:
11u00-11u30: koffiepauze11u30-12u30: 12u30-13u30: lunch13u30-15u00: 15u00-15u30: koffiepauze15u30-17u00:
©MGDequae_2013 3
agenda
Wat zijn risico’s en risico management? p.3-25
Risico management proces (deel 1):Context omschrijven p. 28-34
Risicobeoordeling p. 35-87
Risicobronnen p. 88-103
Oefening p. 104-107
KMO risk management toolkit – oefening p.108-119
Risico management proces (deel 2):Risico behandeling en –controle p.120-129
Risicocommunicatie en –monitoring p.129-141
©MGDequae_2013 4
Wat zijn risico’s?
Could you use a crystal ball for risk management?http://www.youtube.com/watch?v=tskeH4ZYUL0
©MGDequae_2013 5
Definities en begrippen: risicoDefinities en begrippen: risico
• Risico is het effect van onzekerheid op het behalen van doelstellingen.
– Een effect is een afwijking ten opzichte van de verwachting – positief en/of negatief.
– Doelstellingen kunnen worden gekenmerkt door verschillende aspecten (bijvoorbeeld financiële, veiligheid- of milieudoelen) en kunnen betrekking hebben op verschillende niveaus (zoals strategisch, organisatiebreed, een project, product of proces).
– Onzekerheid is het geheel of gedeeltelijk ontbreken van informatie over, inzicht in of kennis van een gebeurtenis, de gevolgen daarvan of de waarschijnlijkheid dat deze zich voordoet.
[ISO Guide 73:2009]
©MGDequae_2013 6
Risk
Universe
©MGDequae_2013 7
Waarom stilstaan bij risico’s?
• We zien inderdaad dat ondernemen gevaren inhoudt die soms tot ongevallen en incidenten leiden.
• De zaken verlopen niet altijd zoals gepland.• Belangrijke boodschap is dat risico’s kunnen beïnvloed
worden zodat zakelijk succes beter gegarandeerd kan worden.
Gevaar = bron van potentieel letsel of schade, of een situatie met potentieel voor letsel of schade
Risico = combinatie van mogelijkheid en gevolg van een specifiek gevaarlijk gebeuren (ongeval of incident)
Een risico wordt vaak uitgedrukt als een combinatie van de gevolgen van een gebeurtenis (ernst) (met inbegrip van wijzigingen in omstandigheden) en de bijbehorende waarschijnlijkheid dat de gebeurtenis zich voordoet.
©MGDequae_2013 8
FoutenboomFeitenboom Gevolgenboom
Gebeurtenis
Sch
ade
Bas
isoo
rzak
en
3 onderdelen van een risico
IMPACT of ERNSTWAARSCHIJNLIJKHEID
Oorzaken Gevolgen
©MGDequae_2013 9
Definities en begrippen: risicoDefinities en begrippen: risico
• Een gebeurtenis is het optreden van of wijziging in een bepaalde combinatie van omstandigheden.
– Een gebeurtenis kan een- of meerledig zijn en kan diverse oorzaken hebben.– Een gebeurtenis kan er ook uit bestaan dat iets niet gebeurt.– Een gebeurtenis kan soms ook worden aangeduid als een ‘incident’ of ‘ongeval’.– Een gebeurtenis die geen gevolgen heeft, kan ook als een ‘bijna-ongeluk’ (‘near miss’, ‘near
hit’, ‘close call’) of ‘incident’ worden omschreven.
• Een gevolg is de uitkomst van een gebeurtenis waardoor doelstellingen worden beïnvloed.
– Een gebeurtenis kan een reeks gevolgen hebben.– Een gevolg kan zeker of onzeker zijn en kan het behalen van de doelstellingen positief of
negatief beïnvloeden.– Gevolgen kunnen kwantitatief of kwalitatief worden uitgedrukt.– Aanvankelijke gevolgen kunnen escaleren door domino-effecten.
• Waarschijnlijkheid is de kans dat iets gebeurt.[ISO Guide 73:2009]
©MGDequae_2013 10
Enkele voorbeelden
• Een nieuwe meubelspuiterij brandt uit:– 31.1.13 brand in nieuwe meubelspuiterij in Mortsel De Brug:
http://www.demorgen.be/dm/nl/989/Binnenland/article/detail/1571498/2013/01/31/Brand-vernielt-gloednieuwe-meubelspuiterij-in-Mortsel.dhtml#.UQvFB_8Snyk.email meer info rond schade ook in omgeving
In het VRT nieuws werd ook verwezen naar gevolgschade en lange stilstand om nieuwe machines te krijgen
• Een ontploffing in Duitsland (26/11/2012): – Knal in sociale werkplaats in Titsee Neustadt waar 120 personen werken: 14 doden en vele
gewondenhttp://nos.nl/video/444906-14-doden-bij-brand-duitse-sociale-werkplaats.html• Natuurfenomenen: storm, bliksem, sneeuw,…• Strategie: verlies business door verkeerde planning, …• IT: overgang naar nieuw ERP systeem, en vertragingen met grote
gevolgen
©MGDequae_2013 11
Zeker 2 miljoen euro schade door brand in beschutte werkplaats in Mortsel
Brand vernielt gloednieuwe meubelspuiterij in Mortsel
10 feb 2009 Een winstwaarschuwing bij sociale werkplaats Wedeka in Stadskanaal.Werkvoorzieningschappen krijgen vanwege de economische crisis minder orders binnen. Vooral inpak- en montage-afdelingen zijn hier de dupe van…, maar het aantal orders vanuit de industrie loopt fors terug. Op de sociale werkplaatsen van Alescon in Hoogeveen zagen ze de terugval op inpakafdelingen aankomen. Die afdeling is al ingekrompen en daardoor heeft het bedrijf minder last van de crisis.
HALLE - De beschutte werkplaats De Floere in Essenbeek is gered. Na twee jaar van crisismanagement klom De Flore uit de rode cijfers dankzij meer klanten en een efficiëntere organisatie op de werkvloer.
10.2.11
Diefstal in beschermde werkplaats in Diest
Faillissement dreigt voor Wasserij De Ster in Torhoutvrijdag 24 augustus 2012 om 09u40 Torhout - Het gaat niet goed bij Wasserij De Ster in de Industrielaan in Torhout. Eerder deze week stuurde zakenpartner OptimaT een twintigtal van haar werknemers ’s ochtends meteen weer naar huis. Naar verluidt liggen achterstallige betalingen aan de basis van de kortsluiting in desamenwerking.
©MGDequae_2013 12
Verdere ervaringen (a)
©MGDequae_2013 13
Verdere ervaringen (b)
• ERP implementatie: een muis die een olifant werd en hoe deze terug naar een muis brengen en een foutenfestival terugdringen
•Black swan: kleine oorzaak maar grote effecten: beter vermijden
©MGDequae_2013 14
Risico managementRisico management• Risico Management
gecoördineerde activiteiten om een organisatie te sturen en te beheersen met betrekking tot risico’s
• Kader voor Risico Managementgeheel van componenten die de basis en organisatorische maatregelen bieden voor ontwerp, implementatie, monitoring, beoordeling en continue verbetering van risicomanagement in alle lagen van de organisatieDe basis omvat beleid, doelstellingen en mandaat voor en verbintenis tot het managen van risico’s.De organisatorische maatregelen omvatten plannen, relaties, verantwoordelijkheden, middelen, processen en activiteiten.Het kader voor risicomanagement is ingebed in de algemene strategische en operationele beleidslijnen en werkwijzen van de organisatie.
• Risico Management processystematische toepassing van beleidslijnen, procedures en werkwijzen op de activiteiten met betrekking tot communicatie, overleg, vaststelling van de context, en het identificeren, analyseren, evalueren, behandelen, monitoren en beoordelen van risico’s.
[ISO Guide 73:2009]
©MGDequae_2013 15
©MGDequae_2013 16
©MGDequae_2013 17
Om succesvol te zijn moet risicomanagement:
• Proportioneel zijn met het risicopeil van de ganse organisatie,• In lijn zijn met de andere bedrijfsactiviteiten,• Allesomvattend zijn bij de behandeling van alle risico’s,• Ingebed zijn in de routine activiteiten,• Dynamisch in juist reageren op wijzigende voorwaarden.
©MGDequae_2013 18
Waarom Risk Management?Waarom Risk Management?
• Effect van interne en externe factoren op organisatie– Creatie onzekerheid door risico-escalatie (cfr volgende slide)– Effect van onzekerheid op de doelstellingen van de organisatie = ‘risico’– Effect op alle activiteiten van een organisatie
• Behoefte aan beheersing van risico’s– Verantwoordelijkheid van raad van bestuur (cfr slide)– Hoe?: Identificeren – analyseren - evalueren (risico beoordeling);
gevolgd door risicobehandeling– Verder: communicatie en overleg met belanghebbenden, monitoren
risico’s en beheersmaatregelen – Proces van Risk Management
©MGDequae_2013 19
RisicoRisico--escalatieescalatie
risico-escalatie = meer dan proportionele groei van de risico’s (in vergelijking met groei productie) door:– technologische vooruitgang (bv. computersturing van machines en
gevoeligheid van blikseminslag, IT en internetevolutie),– toegenomen concentratie- en specialisatietendens door
Internationalisering en globaliseringstendensUitbesteden van activiteiten en productie (‘outsourcen’)‘insourcen’
– permanente verandering en steeds snellere verandering– globalisering en pandemie– hogere bewustwording van de consumenten en sneller klachten
indienen– evolutie juridisch kader en regelgeving (bv Europese directieven)
©MGDequae_2013 20
©MGDequae_2013 21
Verantwoordelijkheden van de raad van bestuur
©MGDequae_2013 22
Wat verloopt er niet zoals gepland?
• De vraag naar een product valt weg door technologische vooruitgang
• Klanten- en omzetverlies na verhuis van winkel• Diefstal van goederen • Afwezigheid van de juiste competentie of ziekte
veroorzaakt een bezettingsprobleem• Een grote klant betaalt niet meer• Op sociale media wordt reputatie schade aangebracht• Netwerk valt uit• Vrachtwagen in panne• Belangrijke data geraakt verloren• ….
©MGDequae_2013 23
Zaken die niet goed lopen
Problemen, mislukkingen, fouten
Onveilige handelingen/situaties
Bijna ongeval –’near misses’
Klein verlies –materiële schade
Ernstig ongeval
letselschade
ongevallen
incidenten
Bijna ongevallen
risicobeheer
Schade-en letselbeheersing
©MGDequae_2013 24
Hoe kan het risk management aangepakt worden?
ISO 31000
©MGDequae_2013 25
Bewuster rond risico’s werken
Eenvoudige uitgangspunten:• Als je niet naar risico’s vraagt, krijg je ze ook niet te
horen;• Twee weten meer dan één;• Wie zijn risico’s niet kent, heeft geen keuze;• Niemand is belangeloos;• Risico’s worden best beheerst door hen die er belang bij
hebben;• Wie niet reflecteert op successen en fouten, stopt met
leren;
©MGDequae_2013 26
Yin & Yang van risicomanagement
Harde kant (yang)
• Risk oversight committees• Policies & procedures• Risk assessments• Measures and reporting• Risk limits• Audit processes• systems
Zachte kant (yin)
• Risk awareness & risk culture• People• Skills• Integrity• Incentives• Culture & values• Trust & communication
er moet een evenwicht zijn tussen Yin & Yang
©MGDequae_2013 27
Risico organisatie
©MGDequae_2013 28
Risicomanagement proces (RMP)
©MGDequae_2013 29
29
Elements of Risk ManagementElements of Risk Management
Effective Risk Management is made up of:– Risk Assessment: identify, analyze, prioritize– Risk Control: planning, resolution, monitoring
RISK RISK MANAGEMENTMANAGEMENT
RISK RISK CONTROLCONTROL
RISK RISK ASSESSMENTASSESSMENT
IDENTIFICATIONIDENTIFICATION
ANALYSISANALYSIS
PLANNINGPLANNING
PRIORITIZATIONPRIORITIZATION
RESOLUTIONRESOLUTION
MONITORINGMONITORING
©MGDequae_2013 30
risicobeoordelingrisicobeoordeling
RisicoRisico--identificatieidentificatie
RisicoanalyseRisicoanalyse
RisicoRisico--evaluatieevaluatie
RisicobehandelingRisicobehandeling
Omschrijf de context Omschrijf de context (doelstellingen en risicostrategie)(doelstellingen en risicostrategie)
Monitoring
Monitoring
en opvolgingen opvolging
Com
municatie en consultatie
Com
municatie en consultatie
risico management procesrisico management proces
©MGDequae_2013 31
Doelstellingen Doelstellingen
• Doelstellingen op verschillende niveaus (ISO Guide 73:2009):– Strategisch, – Organisatiebreed, – Een project, product of proces
• Doelstellingen op verschillende aspecten:– Financiële doelstellingen: omzet,…– Operationele doelstellingen: efficiëntie, veiligheid,…– Kwalitatieve doelstellingen
• Voor processen:– Informatie over doelstellingen vanuit procesvoorstelling
(schildpad-turtle)
©MGDequae_2013 32
TurtleTurtle diagramdiagram
input(WAT)
output(WAT)
start(WANNEER)
regels(WAAROM)
doelstelling(WAAROM)
einde(WANNEER)
belangengroep(WIE)
actoren(WIE)
middelen(WAT)
plaats(WAAR)
p r o c e s
©MGDequae_2013 33
RisicobereidheidRisicobereidheid
• Risicobereidheid (Risk Appetite) van een organisatie =De houding van een organisatie m.b.t. het nemen van risico's, die op haar beurt bepaalt hoeveel risico die organisatie aanvaardbaar vindt
• 3 mogelijke houdingen:1. Risico-afkerig (Risk-averse/Risk-avoiding)
Iets met een zekere monetaire uitkomst wordt verkozen boven een gok met een (gelijke of) hogere verwachte monetaire waarde
2. Risico-neutraal (Risk-neutral)3. Risico-zoekend (Risk-seeking/Risk-loving)
Iets met een zekere monetaire uitkomst wordt verworpen voor een gok met een (gelijke of) lagere verwachte monetaire waarde
©MGDequae_2013 34
Risico beleid Risico beleid vsvs strategie strategie
• Risico beleid:Communicatie over hoe risico management zal geïmplementeerd en uitgevoerd worden om de doelstellingen te realiseren.
• Risico strategie:– Praktische uitwerking van het beleid– Op niveau van programma, project, proces,… zeer specifiek– Inhoud:
Beschrijving activiteitRollen en verantwoordelijkhedenProcesbeschrijvingEvaluatie tools (schalen impact en waarschijnlijkheid)Templates…
©MGDequae_2013 35
Risico’s• Patrimonium blijft belangrijk: brand en IT
risico’s• Kredietrisico wordt ook hoog in prioriteit
geplaatst• Vervolgens aansprakelijkheden• Toelevering met focus op toevertrouwde
goederen:– Waarde van toevertrouwde goederen
kan groot zijn– Wel frequent contract, maar meestal
geen contractuele afspraken rond aansprakelijkheden, exit scenario’s of toevertrouwde goederen
– Transport meestal met eigen transportmiddelen?
• Productieproblemen en product recall:– Afhankelijkheid, kwaliteitsproblemen en
mogelijke recall?– Traceerbaarheid: prioriteit?
• Strategie en risico’s:– Medewerking aan productontwikkeling– Dikwijls grote klanten?– Alle sectoren?
• ……….
Verzekering
• Welke risico’s afdekken?• Specifieke risico’s vragen
specifieke behandeling• Verzekeringscontracten
duidelijk aangepast aan de activiteiten en de evolutie van deze activiteiten
• Belangrijk regelmatig contact met verzekeringsagent of -consulent
©MGDequae_2013 36
Te stellen sleutelvragen (KRIS)
R is voor ReturnRealiseren we voldoende return met de risico’s die we nemen?
I is voor ImmunizatieZijn de controlesaanwezig om de risicoverliezen te minimaliseren?
S is voor SystemenHebben we de systemenom risico te meten en te beheersen?
K is voor KennisHebben we de juiste mensen, vaardigheden, cultuur en waarden voor effectief risicomanagement?
©MGDequae_2013 37
Risicobeoordeling:
Risico-identificatieRisicoanalyse
Risicoevaluatie
RMPRMP
©MGDequae_2013 38
Definities en begrippen: Definities en begrippen: risicobeoordelingrisicobeoordeling
• Risicobeoordeling is het gehele proces van risico-identificatie, risicoanalyse en risico-evaluatie
• Risico-identificatie is het proces waarmee risico’s worden opgespoord, herkend en beschreven– Risico-identificatie omvat de identificatie van risicobronnen,
gebeurtenissen, en de oorzaken en mogelijke gevolgen ervan.– Bij risico-identificatie kunnen historische gegevens, theoretische
analyse, onderbouwde meningen en meningen van deskundigen en de behoeften van belanghebbenden worden betrokken.
• Een risicobron <of gevaar> is een element dat afzonderlijk of incombinatie met andere elementen de mogelijkheid in zich heeft tot een risico te leiden– Een risicobron kan tastbaar of niet-tastbaar zijn.
[ISO Guide 73:2009]
©MGDequae_2013 39
Definities en begrippen: Definities en begrippen: risicobeoordelingrisicobeoordeling
• De risicoanalyse is het proces dat tot doel heeft de aard van het risico te begrijpen en het risiconiveau vast te stellenRisicoanalyse vormt de basis voor risico-evaluatie en voor besluiten omtrent risicobehandeling.
• De risico-evaluatie is het proces waarin de resultaten van een risicoanalyse worden vergeleken met risicocriteria om vast te stellen of het risico en/of de omvang ervan aanvaardbaar of tolereerbaar isDe risico-evaluatie ondersteunt de besluitvorming omtrent de risicobehandeling.
[ISO Guide 73:2009]
©MGDequae_2013 40
risicobeoordelingrisicobeoordeling
RisicoRisico--identificatieidentificatie
RisicoanalyseRisicoanalyse
RisicoRisico--evaluatieevaluatie
RisicobehandelingRisicobehandeling
Omschrijf de context Omschrijf de context (doelstellingen en risicostrategie)(doelstellingen en risicostrategie)
Monitoring
Monitoring
en opvolgingen opvolging
Com
municatie en consultatie
Com
municatie en consultatie
risico management procesrisico management proces
©MGDequae_2013 41
Identificatie: “als je niet naar risico’s vraagt, krijg je ze ook niet te horen”
• Doel is een overzicht te krijgen van gebeurtenissen die het behalen van doelstellingen verhinderen: risico’s in kaart brengen
• Belangrijk vooraf te bepalen wie zal meedoen in deze oefening en wie dit proces zal begeleiden
• Hoe? Individuele interviews, groepsbijeenkomst, combinatie, brainstorming, …
• Goede registratie van risico’s met oorzaken en gevolgen
©MGDequae_2013 42
RisicoRisico--identificatieidentificatie
• Risico-identificatie is het proces waarmee risico’s worden opgespoord, herkend en beschreven.
• Afhankelijk van het te analyseren onderwerp, de beschikbare informatie,… kunnen verschillende technieken gebruikt worden.
• Volgende technieken zijn toepasbaar in deze fase:
1. MUOPO2. FMEA – Failure Mode and Effect Analysis
3. SWIFT – Structured What If Technique
4. Incidentenanalyse5. Checklists
©MGDequae_2013 43
1.MUOPO?1.MUOPO?
• Identificatie van mogelijke risico’s aan de hand van het systematisch overlopen van de beïnvloedende (risico)factoren.
• Risicofactor – Elke factor die een gevaar kan beïnvloeden en die daardoor het ontstaan van het
risico bepaalt– Verschillende factoren kunnen zich tegelijkertijd voordoen– Kans op schade verhoogt = risico verhoogt– De interactie op zich = een risicofactor
• MUOPO staat voor:– Mens– Uitrusting– Omgeving– Product– Organisatie
1.MUOPO?1.MUOPO?MUOPOFMEA – Failure Mode and Effect Analysis
SWIFT – Structured What If Technique
IncidentenanalyseChecklists
©MGDequae_2013 44
Werksituatie1.MUOPO : Risicofactoren1.MUOPO : Risicofactoren
ONVOLKOMENHEDEN
ONVOLKOMENHEDENProduct
MiddelenUitrusting
Omgeving
Organisatie
Mens
80-90 %
©MGDequae_2013 45
1.MUOPO : Risicofactoren1.MUOPO : Risicofactoren
Opeenvolging van
gebeurtenissen
Sequentiële causaliteitONVOLKOMENHEDEN
ONVOLKOMENHEDEN
Ontstaan van schade = DOMINO-model
• Reeks opeenvolgende fasen gezien in de tijd
• Overgang van fase onomkeerbaar
• Factoren: gebeurtenissen, toestanden, handelingen, objecten, ...
©MGDequae_2013 46
De mens (M) die het werk uitvoert(handeling, ingreep, initiatief,…)
MMUOPOUOPO
= De persoonlijke (gedragsbepalende) factoren• bepaald door de rol van de mens, het individu• bepaald door fysieke en psychische eigenschappen• gedrag (risiconemend, gebruik alcohol, medicijnen, e.a.),• motivatie, participatie, veiligheidsbewustzijn• gewoontes, natuurlijke aanleg,• leeftijd,• ervaring, opleiding• kennis van voorschriften, instructies, veiligheidsregels,• bepaald door fysieke (gezondheid, gestalte)• en psychische eigenschappen
1.MUOPO : Componenten1.MUOPO : Componenten
©MGDequae_2013 47
De uitrusting (U)
die daarbij nodig is (machine, toestel, installatie, gereedschap, hulpmiddel, …)
MMUUOPOOPO
= De technische factoren• bepaald door uitrusting• de materiële en technische vormgeving van het systeem• uitgebreidheid van de installatie (overzichtelijk of onoverzichtelijk); • aanwezigheid van de juiste gereedschappen, hulpmiddelen,• toegangsregeling en –controle,• de automatisatiegraad,• degelijkheid nazicht en onderhoud
1.MUOPO: Componenten1.MUOPO: Componenten
©MGDequae_2013 48
De omgeving
waarin gewerkt wordt: zowel de omgeving van de mens als van de uitrusting(de werkomgeving als de leefomgeving)bijvoorbeeld: plotse gebeurtenis, klimaatsomstandigheid, derde firma, oneffen werkvloer, …
MUMUOOPOPO
= De omgevingsfactoren die betrekking hebben tot:
• de materiële omgeving zoals de ruimte, de verlichting, het klimaat• de psychosociale omgeving• de sociaal-economische omgeving en de nieuwe technologieën
.
de verschuiving in werkgelegenheidspatronen (b.v. aantal werkende vrouwen, etnische minderheden, herverdeling technici/handenarbeid/leidinggevenden)
1.MUOPO : Componenten1.MUOPO : Componenten
©MGDequae_2013 49
Het product = het proces
waarmee gewerkt wordt, van input tot output, met inbegrip van elementenuit sturende en ondersteunende processen
MUOMUOPPOO
= De procesgebonden factoren te wijten aan:
.
• de omstandigheden waarin het proces wordt uitgevoerd• de aard en toestand van de input • de randvoorwaarden
1.MUOPO : Componenten1.MUOPO : Componenten
©MGDequae_2013 50
MUOPMUOPOODe organisatie van het werk
dit houdt verband met de procedures, de werkmethodes, de taakverdeling, de beschikbaarheid van mensen, van uitrusting en product.
= De organisatorische factoren :
• personeelsbeleid• aanschaffen van middelen• opleiding en training• opzetten van systemen, procedures en instructies• werkvoorbereiding en planning, …
1.MUOPO : Componenten1.MUOPO : Componenten
©MGDequae_2013 51
• De MUOPO-methode wordt niet enkel toegepast voor – het proactief detecteren van gevaren en risico’s– ook reactief, voor het onderzoeken van (schier) ongevallen
• De voordelen van deze methode :– Niet enkel technisch– Snel en eenvoudig– Ruim toepassingsgebied
• De nadelen van deze methode :– Gebrek aan verbanden tussen oorzaken– Enkel beschrijvend
1.MUOPO : voor1.MUOPO : voor-- en nadelenen nadelen
©MGDequae_2013 52
2.FMEA?2.FMEA?
• FMEA staat voor Failure Mode and Effect Analysis• Systematisch en kwalitatief onderzoek van een systeem bij
voorzienbare uitval van één van de samenstellende componenten van een systeem.
Fou
ten
Tijd
Verwijderenvan fouten
Oorsprongvan fouten
FMEA
2.FMEA?2.FMEA?MUOPOFMEA – Failure Mode and Effect
AnalysisSWIFT – Structured What If Technique
IncidentenanalyseChecklists
©MGDequae_2013 53
2.FMEA : Systematiek van de analyse2.FMEA : Systematiek van de analyse
• FMEA is een bottom-up analyseFMEA als analyse van component-uitval
vertrekpunt : uitval van een component.controle invloed van betrouwbaarheid van hetsysteem.
FMEA als analyse van functie-uitval.vertrekpunt : uitval van een functie.
• Systematiek– Uitgangspunt :
systeemtoestand waarbij alle componenten intact zijn.– Systeem wordt opgedeeld in componenten.– Per component: Bepaling van de faalwijze, faaloorzaak en mogelijke
detectiewijze en gevolgen voor een bepaald systeem.– Na vervollediging worden de kritische falingen bepaald.
©MGDequae_2013 54
2.FMEA : Voor2.FMEA : Voor-- en nadelenen nadelen
• Nadelen:– FMEA analyseert slechts 1 faalwijze per keer, meervoudige faalwijzen
en hun gevolgen worden hier niet geanalyseerd.– In complexe systemen wordt een FMEA heel moeilijk en complex.
• Voordelen:– Duidelijke en gekende techniek
©MGDequae_2013 55
3.Swift?3.Swift?
• Swift staat voor Structured What If Technique.
• Methode bestaat uit het voeren van een geleide brainstormsessie,aan het hand van het stellen van een aantal ‘Wat als…’ vragen.
• Op het einde van de sessie beschikt men over een lijst met mogelijke risico’s verbonden aan het proces.
3.Swift?3.Swift?MUOPOFMEA – Failure Mode and Effect Analysis
SWIFT – Structured What If TechniqueIncidentenanalyseChecklists
©MGDequae_2013 56
3.Swift: methodiek3.Swift: methodiek
• Stap 1. Definieer het te analyseren systeem– Bepaal of definieer het systeem waarop je de ’wat als’-vragen wil loslaten of
waarvoor je deze vragen wil opstellen.– Stel een reeks op van ’wat als’-vragen op.– Wees realistisch bij het opstellen van de vragen.– Blijf vragen opstellen tot uitputting...– Deze vragen zullen als uitgangsbasis dienen voor de ’wat als’-brainstorming.
• Stap 2. Brainstormen– Stel elke ’wat als’-vraag aan de groep– Iedereen probeert voor zich een antwoord te formuleren.– De voorzitter overloopt persoon per persoon zijn antwoord en argumentatie.– Alle antwoorden en argumentaties worden genoteerd.– Vervolgens mag men discussiëren rond de gegeven antwoorden en
argumentaties.– Voorzitter leidt het gesprek in een goede baan.
• Stap 3. Rapporteren
©MGDequae_2013 57
3.Swift : Voor3.Swift : Voor-- en nadelenen nadelen
• Voordelen:– Laat toe om relatief snel een installatie te onderzoeken binnen een
multi-disciplinaire groep van +/- 4 personen.
• Nadelen:– Niet eenvoudig om de zoektocht naar ongewenste gebeurtenissen
gestructureerd te laten verlopen.
©MGDequae_2013 58
4.Incidentenanalyse?4.Incidentenanalyse?
• Incidentenanalyse overloopt alle vroegere incidenten en ‘nearmisses’ om een gedetailleerde analyse te maken van de opeenvolgende gebeurtenissen.
• Doel van de analyse:– Het onderzoeken van mogelijke oorzaken of combinaties van oorzaken
die kunnen leiden tot een topgebeurtenis.– Het identificeren van deze topgebeurtenis.– Het visualiseren van de (on)afhankelijkheid van diverse oorzaken
(fouten).
MUOPOFMEA – Failure Mode and Effect
AnalysisSWIFT – Structured What If Technique
IncidentenanalyseChecklists
©MGDequae_2013 59Foutenboom Gevolgenboom
Ongeval
Bas
isoo
rzak
enAlles dat het ongeval
vooraf gaatAlles wat na het ongeval gebeurt
Sch
ade
4.Incidentenanalyse : Foutenboom4.Incidentenanalyse : Foutenboom
©MGDequae_2013 60
4.Incidentenanalyse : Opbouw van een 4.Incidentenanalyse : Opbouw van een foutenboomfoutenboom
• Uitgangspunt : ongewenste gebeurtenis.• Onderzoek naar mogelijke onderliggende oorzaken (fouten) van de
ongewenste gebeurtenis.• Het visualiseren van de diverse ongewenste oorzaken (fouten) in
een boomstructuur.• Een ‘onafhankelijke oorzaak’ is een oorzaak die niet afhangt van
een gebeurtenis van een andere component in een systeem opdat zich de ‘ongewenste gebeurtenis’ zou kunnen voordoen.
©MGDequae_2013 61
4.Incidentenanalyse : Voor4.Incidentenanalyse : Voor-- en nadelenen nadelen
• Voordelen :– Flexibele en zeer gevisualiseerde analysemethode– Leren uit fouten uit het verleden: veel informatie beschikbaar
• Nadelen :– Complexe foutenbomen zijn niet meer voor iedereen zo eenvoudige
interpreteerbaar of toegankelijk.
©MGDequae_2013 62
5.Gebruik van checklists voor 5.Gebruik van checklists voor risicorisico--identificatieidentificatie
• Gevaren van gebruik checklists– Efficiënt? : te uitgebreide lijst / niet toepasbaar
tijdsverlies– Efficiënt? : te beperkte lijst
vals gevoel van zekerheid
• Goed gebruik van checklists– Als vertrekpunt / voorbereiding voor identificatiefase– Zelf opstellen checklist: Capteren ‘lessons learned’ uit vorige
identificatiesessiesincident log
– Waarde niet overschatten: hulpmiddel, geen doel
MUOPOFMEA – Failure Mode and Effect
AnalysisSWIFT – Structured What If Technique
IncidentenanalyseChecklists
©MGDequae_2013 63
risicobeoordelingrisicobeoordeling
RisicoRisico--identificatieidentificatie
RisicoanalyseRisicoanalyse
RisicoRisico--evaluatieevaluatie
RisicobehandelingRisicobehandeling
Omschrijf de context Omschrijf de context (doelstellingen en risicostrategie)(doelstellingen en risicostrategie)
Monitoring
Monitoring
en opvolgingen opvolging
Com
municatie en consultatie
Com
municatie en consultatie
risico management procesrisico management proces
©MGDequae_2013 64
RisicoanalyseRisicoanalyse
• De risicoanalyse is het proces dat tot doel heeft de aard van het risico te begrijpen en het risiconiveau vast te stellen– Risicoanalyse vormt de basis voor risico-evaluatie en voor besluiten
omtrent risicobehandeling.
• Afhankelijk van het te analyseren onderwerp, de beschikbare informatie,… kunnen verschillende technieken gebruikt worden.
• Volgende technieken zijn toepasbaar in deze fase :
– Vlinderdasmodel: fouten- en gevolgenboom
– Ishikawa
©MGDequae_2013 65
Vlinderdasmodel?Vlinderdasmodel?
• Centraal: ongewenste gebeurtenis.
• Linkerkant vlinderdasmodel: oorzaken
• Rechterkant vlinderdasmodel: gevolgen
• Barrières: beheersmaatregelen
©MGDequae_2013 66
Vlinderdasmodel: OmschrijvingVlinderdasmodel: Omschrijving
• Linkerkant vlinderdas:– Directe en onderliggende gevaren (oorzaken) – Foutenboom: brengt alle mogelijke oorzaken in kaart die geleid hebben
tot de ongewenste gebeurtenis– Illustratie beheer van gevaren
• Meerdere oorzaken => één ongewenste gebeurtenis• Doel beheersmaatregelen: barrière om de ongewenste gebeurtenis
te voorkomen.• Aantal beheersmaatregelen faalt of is afwezig => ongewenste
gebeurtenis• “Zijn afdoende beheersmaatregelen genomen om ongewenste
gebeurtenissen te voorkomen?”
©MGDequae_2013 67
Vlinderdasmodel: OmschrijvingVlinderdasmodel: Omschrijving
• Rechterkant vlinderdasmodel:– Gevolgenkant: alle mogelijke gevolgen van de ongewenste gebeurtenis– Gebeurtenissenboom: schetst de vervolggebeurtenissen die kunnen
optreden als gevolg van de ongewenste gebeurtenis– Aangerichte schade kan verwaarloosbaar tot catastrofaal zijn
• Eén ongewenste gebeurtenis => meerdere gevolgen.• Doel beheersmaatregelen: mogelijke schade voorkomen of
beperken.• “Zijn, in geval van een ongewenste gebeurtenis, de juiste
beheersmaatregelen genomen om de mogelijke gevolgen van de gebeurtenis uit te sluiten of tot een minimum te beperken?”
©MGDequae_2013 68FoutenboomFeitenboom
Gevolgenboom
Gebeurtenis
Alles dat de gebeurtenis vooraf gaat
Alles wat na de gebeurtenis gebeurt
Sch
ade
Bas
isoo
rzak
en
VlinderdasmodelVlinderdasmodel
©MGDequae_2013 69Oorzaken wegnemen Barrières opwerpen
Gebeurtenis
Alles dat de gebeurtenis vooraf gaat
Alles wat na de gebeurtenis gebeurt
Sch
ade
Bas
isoo
rzak
en
Vlinderdasmodel?Vlinderdasmodel?
©MGDequae_2013 70
Vlinderdasmodel: VoorVlinderdasmodel: Voor-- en nadelenen nadelen
• Voordelen :– Flexibele en zeer gevisualiseerde analysemethode– Bevat veel informatie– Bruikbaar voor meerdere doelstellingen
• Nadelen :– Tijdrovend in samenstelling
©MGDequae_2013 71
RisicoanalyseRisicoanalyse
• De risicoanalyse is het proces dat tot doel heeft de aard van het risico te begrijpen en het risiconiveau vast te stellen– Risicoanalyse vormt de basis voor risico-evaluatie en voor besluiten
omtrent risicobehandeling.
• Afhankelijk van het te analyseren onderwerp, de beschikbare informatie,… kunnen verschillende technieken gebruikt worden.
• Volgende technieken worden overlopen:
– Vlinderdasmodel: fouten- en gevolgenboom
– Ishikawa
©MGDequae_2013 72
IshikawaIshikawa??
• Visgraatmodel is een methode om de verschillende oorzaken van een probleem systematisch in kaart te brengen.
mens methode
materiaal
middenmiddelen
GEBEURTENIS
©MGDequae_2013 73
ISHIKAWAISHIKAWA
Ishikawa-controlelijst : variant met 6x “M”
©MGDequae_2013 74
IshikawaIshikawa
De opbouw van het diagram:1. Selecteer een probleem:Wat is het schadegeval of de ongewenste gebeurtenis?
2. Genereren van ideeën:Brainstorm over wat de mogelijke oorzaken zijn van het probleem of het schadegeval
3. Aanmaak van de visgraat:Teken een visgraatdiagram
Zet het gevolg aan de kop van de visgraat
Groepeer de mogelijke oorzaken en breng ze in samenhang in het diagram
4. Verdere detaillering:Verfijn de visgraat
Ga door met het toevoegen van mogelijke oorzaken en detailoorzaken totdat in elke vertakking (hoofdstam) de mogelijke kernoorzaak is gevonden
5. Analyse van het diagramControleer diagram op volledigheid, eventueel door voor te leggen aan een groep
specialisten
©MGDequae_2013 75
IshikawaIshikawa• De voordelen van deze methode :
– Nadruk op veelheid van mogelijke factoren– Vermijden van te simplistische één-oorzaak één-gevolg besluitname– Vrij snelle manier om de belangrijkste oorzaken van schade op te
sommen– Vrij eenvoudig, iedereen kan meewerken– De gegevens bieden een relatief betrouwbare houvast voor de te
nemen maatregelen.– Het visdiagram geeft een gestructureerd overzicht van de onmiddellijke
en van de onderliggende oorzaken. • De nadelen van deze methode:
– Geen logische relaties zoals in foutenboom– Betrouwbaarheid van het systeem moeilijk te schatten omwille van
gebrek aan logische relaties– De onderzoekers moeten een opleiding krijgen over de methode.
©MGDequae_2013 76
Analyse en beoordeling: “twee weten meer dan één”
• Geïdentificeerde risico’s: – bepaal kans van optreden en– mogelijke gevolgen
• Als onvoldoende gegevens beschikbaar zijn gebruik een kwantificeringstabel
• Omvang van risico is kans X gevolg• Concentreer op de belangrijkste (10-tal
toprisico’s)
©MGDequae_2013 77
©MGDequae_2013 78
risicobeoordelingrisicobeoordeling
RisicoRisico--identificatieidentificatie
RisicoanalyseRisicoanalyse
RisicoRisico--evaluatieevaluatie
RisicobehandelingRisicobehandeling
Omschrijf de context Omschrijf de context (doelstellingen en risicostrategie)(doelstellingen en risicostrategie)
Monitoring
Monitoring
en opvolgingen opvolging
Com
municatie en consultatie
Com
municatie en consultatie
risico management procesrisico management proces
©MGDequae_2013 79
Evaluatie: “Wie niet reflecteert op successen en fouten, stopt met leren”
• RM is een cyclisch proces• Belangrijk nu en dan even terug te kijken om
beter vooruit te kunnen kijken• Hierdoor risicobewustzijn binnen team verder
aangescherpt• Evaluatie van proces: + en –• Effect op risicoprofiel• Hoe verder?
©MGDequae_2013 80
RisicoRisico--evaluatieevaluatie
• De risico-evaluatie is het proces waarin de resultaten van een risicoanalyse worden vergeleken met risicocriteria om vast te stellen of het risico en/of de omvang ervan aanvaardbaar of tolereerbaar is– De risico-evaluatie ondersteunt de besluitvorming omtrent de
risicobehandeling.
• Afhankelijk van het te analyseren onderwerp, de beschikbare informatie,… kunnen verschillende technieken gebruikt worden.
• Volgende technieken zijn toepasbaar in deze fase : – Risicomatrix– Kinney & Fine
©MGDequae_2013 81
Zeer belangrijk
Belangrijk
Minder belangrijk
Gering
uitzonderlijk
ongewoon
Goed mogelijk
Te verwacht
en
Impact
Waarschijnlijkheid
Onaanvaardbaarrisico
Aanvaardbaar risico
Toepassing• betere techniek / werkmethode
• alternatieve werkwijze
RisicoRisico--evaluatie: risicomatrixevaluatie: risicomatrix
©MGDequae_2013 82
RisicoRisico--evaluatie: risicomatrixevaluatie: risicomatrix
©MGDequae_2013 83
RisicoRisico--evaluatie: evaluatie: KinneyKinney & Fine& Fine
• Deze techniek is omwille van zijn relatieve eenvoudige opzet de meest gebruikte of toegepaste techniek in alle bedrijfssectoren.
• Doel – Bepaling van de “grootte van het risico”– Ieder risico krijgt een numerieke score, rekening houdende met
mogelijke schade, blootstelling en waarschijnlijkheid
I x BI x B xx WWC x E x PC x E x P
©MGDequae_2013 84
R = R = I I x x B x WB x W= C x E x P= C x E x P
RR RisicograadII Impact van de
schadeCC Cost (mogelijke
schade)BB Blootstellingsfrequ
entieEE Exposure
WW Waarchijnlijkheidop schade
PP Probability
SleutelfactorenSleutelfactoren
©MGDequae_2013 85
WerkwijzeWerkwijze
W waarschijnlijkheid B blootstelling I mogelijk gevolg
persoonlijke schade materiële schade
10 te verwachten 10 bestendig 100 catastrofe: talrijke doden schade > 12.500.000 ∉ 6 goed mogelijk 6 frequent - dagelijks 40 ramp: enkele doden schade > 1.250.000 ∉ 3 ongewoon maar mogelijk 3 occasioneel - wekelijks 15 zeer ernstig: dodelijk
ongeval schade > 125.000 ∉
1 enkel in grensgeval mogelijk 2 ongewoon - maandelijks 7 ernstig: ernstig letsel (>1 maand)
schade > 12.500 ∉
0,5 denkbaar doch onwaarschijnlijk
1 zelden - enkele malen per jaar
3 belangrijk:ongeschiktheid schade > 1.250 ∉
0,2 praktisch onmogelijk 0,5 zeer zelden - eenmaal per jaar
1 te noteren incident, kwetsuur
schade > 125 ∉
0,1 virtueel onmogelijk 0,0 geen enkele blootstelling 0,0 geen schade geen schade 0,0 zelfs theoretisch onmogelijk
R risicoscore >400 zeer hoog risico, stopzetting overwegen 200 - 400 hoog risico, onmiddellijk te verbeteren 70 - 200 belangrijk risico, verbetering vereist 20 - 70 mogelijk risico, aandacht vereist 0 - 20 misschien aanvaardbaar risico 0 geen risico
W x B x I = R
©MGDequae_2013 86
In de praktijkIn de praktijk……
Combinatie van technieken:
– Volledige risicobeoordeling doorlopen aan de hand van één techniek– Analyse technieken voor de meer complexe / onaanvaardbare risico’s
Het uitvoeren van een risicobeoordeling is teamwork.Dit wil niet zeggen dat één persoon dit niet alleen zou kunnen maar i.f.v. – De gekozen methodiek;– De complexiteit van het te analyseren proces of – De arbeidsomgeving of de context waarin het proces wordt uitgevoerd
kan het best worden geopteerd voor een multidisciplinair team.
©MGDequae_2013 8710-6-2013 MGD_4/2013 13
Wie in werkgroep?
• Afhankelijk van risico • Belangrijk meerdere disciplines, meerdere
niveau’s te betrekken in de werkgroep• Werkgroep best op regelmatige tijdstippen
samen• Analyse van risico scenario’s• Evaluatie van risico’s • Waar staan we en waar naartoe?• Aanduiding van risico-eigenaar voor verdere
follow-up10-6-2013 MGD_4/2013 14
Ben je klaar voor IT risicomanagement?
• How does your company assess its risk maturity and manage risk, boterms of the business, as well as its IT infrastructure and assets?
• What strategies does your organization have in place for following indand IT best practices for mitigating risk – starting with security, and including resiliency and business continuity?
• In what ways do your company’s risk-related initiatives help improvevisibility and control, and help assure compliance with contracts, industandards, regulations and internal controls?
• How does your IT infrastructure support the ongoing performance ob
th in
ustry
stry
jectivesof the business in terms of flexibility, security, availability, scalability, resiliency and governance?
• What type of plan does your organization have for assuring that humacapital, processes and systems are able to recover and respond to a disruptive event?
n
©MGDequae_2013 88
Het multidisciplinaire teamHet multidisciplinaire team
• Vaardigheden van de voorzitter– Voorzitter is een onafhankelijke / ervaren persoon.– Mogelijks een extern persoon.– De voorzitter staat wel in voor de planning, de opvolging en de
rapportering van de resultaten van de risicobeoordeling.
• Vaardigheden van de teamleden– Het team moet zo samengesteld worden dat alle aspecten eigen aan
het proces kunnen afgedekt worden. Normale werkingWisselwerking andere processenIncidenten, ongevallenOndersteuning IT / andere diensten…
©MGDequae_2013 89
Organisatie van risicomanagement
• Commitment• Bewustzijn• Mandaat• Draagvlak• Verantwoordelijkheid
• Instrumenten• Middelen• Frequentie• Rapportage• Positionering
Voorwaarden binnen bestaande organisatie nodig om een goed risicobeheer uit te bouwen:
©MGDequae_2013 90
Intern Intern ExternExtern
Risicobronnen
RMPRMP
©MGDequae_2013 91
Risicobronnen Risicobronnen
• Interne en externe factoren hebben invloed op het bereiken van doelstellingen van de onderneming
RISICOBRONNEN
• Mogelijke opdeling:– Financiële risico’s– Strategische risico’s– Operationele risico’s– ‘Hazard’ risico’s
©MGDequae_2013 92
externeomgeving
externe omgeving
klanten
samenleving
leveranciers ontwerp
interne omgeving
aansprakeaansprake--lijkheidlijkheid
personeelpersoneel
materimateriëëleleactivaactiva informatieinformatie
resultatenresultaten aansprakeaansprake--lijkheidlijkheid
productie verkoop
transittransit transittransit
Risico’s, accidenten & & incidentenincidenten kunnenkunnen overaloveral voorkomenvoorkomen
©MGDequae_2013 93
personeelpersoneel patrimoniumpatrimonium informatieinformatie aansprakeaansprake--lijkheidlijkheid
RISICORISICO’’SS
ongevallenongevallen ––ziektesziektes
materimateriëëleleschadeschade
gevolgschadegevolgschade
diefstaldiefstal, , fraudefraude......
product,product,milieu milieu schadesschades,,
……
transittransit
WatWat kankan verkeerdverkeerd gaangaan??
krediet
financifinanciëëlele
verliezenverliezen
©MGDequae_2013 94
A structured approach to Enterprise Risk Management
© AIRMIC, Alarm, IRM: 2010
©MGDequae_2013 95
Voorbeelden risicobronnenVoorbeelden risicobronnen
• Hazard risico’s - Natuurlijke risico's, terrorisme, ...– Overstromingen, windhozen, ...– Bedreigingen van elektriciteitscentrales, vlieghavens,
drinkwatervoorziening, ...– Biologische bedreigingen, bacteriën, ...
• Technologische risico’s– Fout gebruik van informatietechnologie, – Productiefout, – Constructiefout, – Onderhoudsfout, – Uitval machines, – Onoordeelkundige behandeling, – Onvoldoende bescherming, …
©MGDequae_2013 96
Voorbeelden risicobronnenVoorbeelden risicobronnen
• Economische risico’s– Verlies marktsegment, – Algemene economische crisis, – Stakingen, – Uitvallen van grondstoffenlevering, – Uitval energievoorziening, – Algemeen wegvallen financiële middelen
• Juridische risico’s– Onrechtmatige handelingen, – Ontbreken van vergunningen, – Tekortkomingen tov leveranciers/klanten/contractanten, ...
©MGDequae_2013 97
Voorbeelden risicobronnenVoorbeelden risicobronnen
• Financiële risico’s– Wanbetalingen, – Bancaire risico’s : wissel / intrest / inconvertibiliteit /…, – Insolvabiliteit klant, – Nieuwe risico's als gevolg van strategische investeringen
• Organisatie structuur– Overeenkomst structuur met bedrijfsunit, – Overeenkomst tussen bevoegdheden en competenties, – Groepsrelaties: territoriale verantwoordelijkheden of thematische, of
gemixt ???
©MGDequae_2013 98
Voorbeelden risicobronnenVoorbeelden risicobronnen
• Marketingstructuur– Is marketingdoel (KT, MT, LT) duidelijk gedefinieerd?, – Overeenkomst tussen marketingdoelen en in te zetten middelen, – Wat is de gevoeligheid tussen verzwakking ingezette middelen en het
verhoopte marketingresultaat?, – Is Marketingstrategie goed gecommuniceerd?
• Informatie en communicatie– Duidelijkheid van de doelstellingen en communicatie, tijdig, volledig,
correct, coherent, gevaren en gevoeligheid ?
©MGDequae_2013 99
Voorbeelden risicobronnenVoorbeelden risicobronnen
• Personeel - Sociale risico’s– Fraude, fouten-vergissingen-vergetelheden, insider trading, …– (in-)stabiliteit: key-people– Kwaliteit van management: ongeschikt, (in-)competentie, onvoldoende
capaciteit, terugval op externe medewerking, onvoldoende / onaangepaste vorming, onvoldoende motiveringscultuur, geen geloofwaardige carrièreplanning, onbestaande sociale politiek, onvoldoende ervaring en individuele en/of groepscompetentie, onvoldoende evaluatie van rapportering, onvoldoende evaluatie van op te volgen procedures, ...
– Bezoldiging niet aangepast, niet afgestemde aanwerving, leeftijdspiramide, teveel nieuw personeel, sociaal passief, te snelle rotatie
– Slechte werksfeer, verstoorde arbeidsvoorwaarden, ontvoering, geografische verplaatsing van productie-units, sociale onrust, interne stakingen …
©MGDequae_2013 100
Voorbeelden risicobronnenVoorbeelden risicobronnen
• Processen– ongepast: te zwaar - te licht– niet conform met industrienormen– onvoldoende interne controle (4 ogenpolitiek, dubbele ingeving,
reconciliaties:beheer front & back) – transactionele fouten : limiet-/tijdsoverschrijding– niet gesignaleerde vergissingen– gevolg: klachten, verlies cliënteel, reputatie …
• Projecten– vertraging, – incompatibilteit, – onvoorziene meerkost
©MGDequae_2013 101
Voorbeelden risicobronnenVoorbeelden risicobronnen
• Informaticasupport– niet aangepast aan wensen/eisen (no fail-% disponibiliteit, te traag, te
duur, user-friendliness, ...)– integriteit programma’s/data: virussen, …– continuïteit: b-u en restore– gebruikersrisico (tijdelijke vervangingen, onvoldoende beheer…)
• Infrastructuur– onaangepast– voeding elektriciteit, data, telefonie, water, …– veiligheid
©MGDequae_2013 102
Voorbeelden risicobronnenVoorbeelden risicobronnen
• Wettelijk, fiscaal, algemene conformiteit– Wettelijke aansprakelijkheid : punitive damages, boetes, … : risico op
faillissement.– Verantwoordelijkheid te voldoen aan eisen vanwege de controle-
instanties - “regulatory compliance”– Aansprakelijkheid derden/productaansprakelijkheid : klachten en
tegemoetkomingen cliënteel, dagvaarding, kosten juridische opvolging– vergunningen
©MGDequae_2013 103
Voorbeelden risicobronnenVoorbeelden risicobronnen
• Risico’s uit verschillende domeinen:– Veiligheid en gezondheid– Milieu– Kwaliteit – Transport– Security
©MGDequae_2013 104
Overzicht van risico’s
• Strategische risico’s:– Onder controle om de objectieven te kunnen bereiken– Belangrijk discussies over de risico’s ivm strategische
objectieven te voeren– Risico werkzittingen en opvolgen met key risk indicators
• Externe risico’s:– Minimaliseren van effecten als risico zich realiseert (bv
natuurfenomenen)– Met scenario’s werken om doel te bereiken
• Vermijdbare risico’s:– Vermijd of elimineer het voorkomen op kost-effectieve wijze– Geïntegreerd risico beheer model, met procedures, interne
controle en internal audit
CfrCfr R. R. KaplanKaplan & A. Mikes& A. Mikes
©MGDequae_2013 105
©MGDequae_2013 106
OEFENINGOEFENING
Risk Management Proces
RMPRMP
©MGDequae_2013 107
RisicobeoordelingRisicobeoordeling
Toepassing techniek naar keuze
– MUOPO– FMEA– SWIFT– Vlinderdas– Ishikawa
©MGDequae_2013 108
Voorbeeld administratief procesVoorbeeld administratief proces
Het uitkeren van salaris aan de werknemersUitgevoerd werk
Input in programmaSoc. Secr
Invullen timesheet
Goedkeuring door chef
Loon berekening Printen loonfiche
Versturenloonfiche
Opdracht storing loon
Einde proces
OK
Opmerking Niet OK
Schematische weergave proces
Bespreking processtappen
©MGDequae_2013 109
De KMO risk management toolkit
oefeningen
©MGDequae_2013 110
KMO risicomanagement toolkit
This information is provided in good faith, however it is not comprehensive andIOSH accepts no liability for any losses incurredfrom its use, howsoever caused.
http://www.docstoc.com/docs/36516331/KMO-Risico-Management-Toolkit
Deze toolkit is aangepast door de UK organisatie IOSH, Institution for Occupational Safety and Health, op basis van het document dat oorspronkelijk opgebouwd werd door de Finse organisatie VTT.
Deze toolkit is overwegend gesponsord door de European Agency for Safety and Health at Work.
In België heeft PreBes een Nederlandse versie gemaakt.
Op de volgende pagina’s vindt u een aantal werkkaarten.
©MGDequae_2013 111
KMO risk management KMO risk management toolkit toolkit
©MGDequae_2013 112
©MGDequae_2013 113
©MGDequae_2013 114
©MGDequae_2013 115
©MGDequae_2013 116
©MGDequae_2013 117
©MGDequae_2013 118
©MGDequae_2013 119
©MGDequae_2013 120
©MGDequae_2013 121
Risicobehandeling en -controle
PlanningResolutie (besluit en actie)
Opvolging (monitoren)
RMPRMP
©MGDequae_2013 122
risicobeoordelingrisicobeoordeling
RisicoRisico--identificatieidentificatie
RisicoanalyseRisicoanalyse
RisicoRisico--evaluatieevaluatie
RisicobehandelingRisicobehandeling
Omschrijf de context Omschrijf de context (doelstellingen en risicostrategie)(doelstellingen en risicostrategie)
Monitoring
Monitoring
en opvolgingen opvolging
Com
municatie en consultatie
Com
municatie en consultatie
risico management procesrisico management proces
©MGDequae_2013 123
Risicobehandeling Risicobehandeling • Op basis van de risicomatrix
4 kwadranten:– I: lage impact
lage waarschijnlijkheid– II: hoge impact
lage waarschijnlijkheid– III: hoge impact
hoge waarschijnlijkheid– IV: lage impact
hoge waarschijnlijkheid
• Per kwadrant een andere aanpak
imp
act
waarschijnlijkheidH
H
L
L
©MGDequae_2013 124
Risicobehandeling: optiesRisicobehandeling: opties
impactimpact
waarschijnlijkheidwaarschijnlijkheid
TransferTransfer TerminateTerminate
TreatTreatTolerateTolerate
©MGDequae_2013 125
Risico behandelingRisicoaanpak:
– Preventie:EliminatieMinimizatieSubstitutie,bewaking, controles
– ProtectieCollectieve/algemene passieve bescherming,Individuele/locale passieve beschermingActieve bescherming,Trainingwaarschuwingen
– Disaster recovery & contingency planning DRP/DCP
Risico transfer: ContractenVerzekeringen:
– Negotiatie– Administratie– Premium allocatie– Klachten beheer
Plan
DoAdjust
Check
©MGDequae_2013 126
A. identificatie
B. evaluatie
C. behandeling
D. transfer
verantwoordelijkheidOperationele & Technische
managers
verantwoordelijkheidRISK
MANAGEMENT
Teamwork door:Communicatie
Wederzijds begrip
risicomanagement aanpak
©MGDequae_2013 127
Afwegen alternatieven:Wie zijn risico’s niet kent, heeft geen keuze”
• Na risico’s in kaart • Nu toprisico’s beheersen• Doel is vooraf te overwegen
wat je met een risico doet• Belangrijk is risico tolerantie en
risico appetijt te bepalen• Bedenk beheersmaatregelen +
inschatting van gevraagde investering en effect op risico (cost-benefit analyse)
Beheersing: “risico’s worden het best beheerst door hen die er belang bij hebben”
• Voor de belangrijkste risico’s werden verschillende alternatieven afgewogen
• 2 belangrijke vragen:– Wie gaat het risico
beheersen? (wie wordt de risico-eigenaar?)
– Hoe pak je de uitvoering aan?
• Maak zoveel mogelijk het uitvoeren van de maatregelen onderdeel van dagelijks werk
©MGDequae_2013 128
oorzaak gevolg
vermijden
aanvaarden
verminderen
risico
Zelf dragenoverdragen
verzekeren
Uitbesteden, inkopen
Contractueel overdragen
©MGDequae_2013 129
risicobeoordelingrisicobeoordeling
RisicoRisico--identificatieidentificatie
RisicoanalyseRisicoanalyse
RisicoRisico--evaluatieevaluatie
RisicobehandelingRisicobehandeling
Omschrijf de context Omschrijf de context (doelstellingen en risicostrategie)(doelstellingen en risicostrategie)
Monitoring
Monitoring
en opvolgingen opvolging
Com
municatie en consultatie
Com
municatie en consultatie
risico management procesrisico management proces
©MGDequae_2013 130
Communicatie in risicomanagement: “het grootste risico is dat je de risico’s voor jezelf houdt”
Om goed te communiceren:• Beschouw risico’s als een ‘fact of life’• Maak risico’s bespreekbaar• Maak risicomanagement belangrijk• Houd risicomanagement hanteerbaar en praktisch• Betrek de juiste mensen• Stimuleer openheid en vertrouwen• Wees expliciet• Blijf realistisch
©MGDequae_2013 131
Risicorapportering Risicorapportering • Verschillende soorten rapportering:
– Over de beoordeelde risico’s en hun beheersmaatregelen:‘Risk register’
– Over de nodige investeringen / acties / verantwoordelijkheden:‘Risico actieplan’
– Op maat van de organisatie!!• Verschillende soorten bestemmelingen:
– Intern: regelmatig informatie rond risico’s en hoe ze aangepakt worden, bv in de comité’s naar
ManagementProcessowners en AfdelingshoofdenAndere diensten van de onderneming: verzekeringen / financiële dienst /…
– Extern:naar stakeholders: klanten, leveranciers, overheden, aandeelhouders
Maak een adviesgroep die u kan bijstaan
©MGDequae_2013 132
Risicorapportering (2)Risicorapportering (2)
• Hoe rapporteren?– Vaste templates– Radar grafiek per proces / afdeling / soort risico / …
ProcesAantal risico's
Proces A 52
Proces B 68
Proces C 42
Proces D 100Proces E 12
©MGDequae_2013 133
Geaggregeerde risicoGeaggregeerde risico’’ss• Belangrijk: geen risico’s optellen!!• Wel: geaggregeerd risico opnieuw inschalen
– Op impact / waarschijnlijkheid– Voorstellen op 1 grafiek
Risico in afdeling x
Geaggregeerd risico in afdeling x
©MGDequae_2013 134
risicobeoordelingrisicobeoordeling
RisicoRisico--identificatieidentificatie
RisicoanalyseRisicoanalyse
RisicoRisico--evaluatieevaluatie
RisicobehandelingRisicobehandeling
Omschrijf de context Omschrijf de context (doelstellingen en risicostrategie)(doelstellingen en risicostrategie)
Monitoring
Monitoring
en opvolgingen opvolging
Com
municatie en consultatie
Com
municatie en consultatie
risico management procesrisico management proces
©MGDequae_2013 135
Implementatie en Implementatie en monitoringmonitoring
• Opstellen en uitvoeren actieplannen• Monitoring:
– Door project teamleden– Door interne auditoren:
In het verleden:hoofdtaak auditor was controle van de gevolgde
procedures= kijken in de achteruitkijkspiegel
Nu: risk based auditing:
hoofdtaak auditor is controle van de beheersmaatregelen en risico’s
= vooruit kijken
©MGDequae_2013 136
Effectiviteit / Maturiteit van het Risk Effectiviteit / Maturiteit van het Risk Management systeemManagement systeem
Te controleren door de interne audit– Risicostrategie, -beleid– Verantwoordelijkheden en bevoegdheden
Bestuurder(s)Risk ManagerRisk Owner
– Middelen– Procedures en registraties– Risicobewustzijn van medewerkers– Resultaten van het Risk Management systeem: verbeteringen,
aanpassingen
©MGDequae_2013 137
KeyKey Risk IndicatorsRisk Indicators
• ‘Early warning indicator’– Wijzigingen in interne of externe context met invloed op het behalen van
doelstellingen– Invloed op de huidige risico-evaluatie
Risico wordt (on-)belangrijkerMonitoring van de risico’s
– Hoe vroeger de wijziging wordt opgemerkt, hoe beter men kan reageren.
• Hoe de juiste KRIs selecteren?– Vertrek van een aantal incidenten (reeds voorgevallen risico’s)– Voer een oorzakenanalyse uit– Bepaal welke indicatoren de oorzaken beïnvloeden KRI
©MGDequae_2013 138
KeyKey Risk Indicators (2)Risk Indicators (2)
• Verschil met KPIs (Key Performance Indicator)– Meet gebeurtenissen uit het verleden die perfomance beïnvloeden: bvb.
verkoopsresultaten van voorbije week / maand / jaar; wanbetalingen bij klanten;…
– Geven een beeld van de actuele status van de organisatie, niet van toekomstige wijzigingen
• Voorbeelden van KRI’s– Extern
Industrierapporten (van industrie waarin je veel klanten hebt)Economische indicatoren…
– InternCapaciteit van fabriekVerloop voor belangrijke functies…
©MGDequae_2013 139
Valkuilen Valkuilen KRIsKRIs
Aantal valkuilen bij het gebruik van KRIs– Altijd dezelfde KRIs gebruiken
Risico’s veranderen, dus KRIs moeten ook aangepast worden.– Link tussen KRI en risico is niet duidelijk
Er worden verkeerde conclusies getrokken.– Teveel KRIs
Teveel informatie, belangrijke gebeurtenissen worden over het hoofd gezien.
– KRI niet up-to-dateBelangrijke wijzigingen worden niet opgemerkt
©MGDequae_2013 140
De Risk ManagerDe Risk Manager
• Evolutie van de functie– Van verzekeringsmanager naar functie die strategische beslissingen
ondersteunt– Afhankelijk van de grootte van het bedrijf: voltijdse of deeltijdse functie
• Eigenschappen van de Risk Manager– Communicatie skills– Flexibel– Doorzettingsvermogen– Kan alle niveaus van de organisatie beïnvloeden
©MGDequae_2013 141
referenties
• Kaplan, R.S., Mikes, A., (2012), Managing Risks: a New Framework, Harvard Business Review, June, pp. 48-60
• IRM (Institute of Risk Management), Risk Appetite & Tolerance, guidance paper, http://www.theirm.org/publications/documents/IRMRiskAppetiteFullweb.pdf, 40p.
• IRM (Institute of Risk Management), Risk Culture: under the microscope, Guidance for Boards, http://www.theirm.org/documents/Risk_Culture_A5_WEB15_Oct_2012.pdf,20 p.
• Prebes, IOSH, KMO Risico Management, Toolkit• ISO guide 73/2009 Risk Management - Vocabulary• ISO 31000/2009, Risk Management – Principles and Guidelines• Gemeente Amsterdam, Risicomanagement – Wat zou Arie doen?• AIRMIC, ALARM, IRM, A structured approach to Enterprise Risk Management (ERM)
and the requirements of ISO 31000• Turbo risk management - Amelior• Hopkin, P. Fundamentals of Risk Management, Understanding, evaluating and
implementing effective risk management, 2nd Edition, Kogan Page Limited, 390 pp.