In mijn vorige post kun je de uitleg over risico beoordeling lezen. Vandaag: vier aandachtspunten die in mijn ervaring te snel overgeslagen worden. Daarover in deze post meer.

1. Kans: zoals benoemd wordt er gescoord op een schaal. Die schaal kan lopen van bijvoorbeeld 1x per dag naar 1x per jaar. Dit is vooral gebruikelijk bij operationele risico’s van activiteiten die regelmatig voorkomen. Bij activiteiten die minder vaak voorkomen, zoals het opstellen van jaarcijfers (gebeurt 1x per kalenderjaar), kan een andere schaal nodig zijn. Bijvoorbeeld elk jaar, elke drie jaar, elke 7 jaar, elke tien jaar en elke twintig jaar.

Als je namelijk de 1x per dag naar 1x per jaar schaal gebruikt (voor een activiteit die überhaupt maar 1x per jaar voorkomt), kun je alleen maar de laagste frequentie selecteren. Maar voor deze activiteit zou dat betekenen dat het élke keer fout gaat. Ik vind dit onhandig. Werken met verschillende schalen voor verschillende activiteitfrequenties vind ik net zo onhandig, dus ik gebruik al jaren een andere oplossing: percentages.

In onderstaande tabel zie je een viertal voorbeelden van schalen, zowel een 4-puntsschaal als een 5-puntsschaal. De percentages geven aan in hoeveel van de gevallen van de betreffende activiteit (of het proces) het risico zich voor kan doen. Op deze manier maakt het niet uit hoe vaak de activiteit zelf voor komt, je kunt de percentages gewoon toepassen. Dus ontwerp je eigen schaal en ga aan de slag!

Score	1	2	3	4	5
Kans	0-5%	5-20%	20-45%	45-75%	75-100%
Kans	0-20%	20-40%	40-60%	60-80%	80-100%
Kans	0-15%	15-45%	45-85%	85-100%
Kans	0-25%	25-50%	50-75%	75-100%

2. Impact: ik heb gemerkt dat men vaak de kans factor meeneemt in het bepalen van de impact. In plaats van puur de impact te beoordelen wordt deze al gebagatelliseerd (of opgeblazen) aan de hand van de beoordeelde kans. Dat gaat dan ongeveer zo:

Hmm, aangezien dit niet zo vaak voor gaat komen, zal de impact ook wel meevallen.

Ik stel daarom altijd de vraag als volgt: aangenomen dat het risico zich voordoet, wat kan de mogelijk impact zijn? Juist door dit onderscheid te maken, stel je mensen (en jezelf) in staat om de beide factoren van elkaar te scheiden en daadwerkelijk los van elkaar te scoren.

Daarnaast: de impact is niet alleen financieel. Sterker nog, de financiële impact is vaak een gevolg van andere impact. Zoals bijvoorbeeld een boete als gevolg van een datalek: heb je je veiligheid niet op orde (risico), dan is de mogelijke impact een datalek (impact) met als gevolg een boete. In onderstaande tabel zie je een voorbeeld van verschillende impactcategoriën verdeeld over 4 schalen.

Impact score	1	2	3	4
Financiën	<€1000	€1000-€10.000	€10.000-€100.000	>€100.000
Toezicht-houder	Inspectie ter plaatse	Aanwijzing	Boete	Intrekken vergunning
Reputatie	3 regels in het lokale suffertje	Interview met lokale radio	Trending op social media	Hoofdnieuws in journaal/ voorpagina kranten
Klant verlies	0-5% klantverlies	5-10%  klantverlies	10-25% klantverlies	>25% klantverlies

Kies vooral zelf welke categoriën voor jouw organisatie relevant zijn en welke verdeling over de schalen voor jouw van toepassing is. Vooral de financiële impact kan zeer verschillen tussen grote en kleine organisaties.

3. De schaalindeling: vaak weet men niet welke schaalindeling handig is. Het snelle antwoord: 4 of 5.

Waarom niet meer dan 5: bij 6- of 7-puntsschaal ben je voornamelijk aan het discussiëren over de score nou bijvoorbeeld 5 of 6 moet zijn. Dit komt doordat het onderlinge verschil tussen 5 en 6 dan vrij klein is; hoe groter de schaal, des te meer de scoring wordt ‘uitgesmeerd’ waarmee er dunne marges overblijven.

Waarom niet minder dan 4: bij een schaal van 3 is het tegenovergestelde waar: er valt weinig te kiezen. Vooral in Nederland zal men dan opvallend vaak voor middenmoot gaan, wij houden niet van de extreme scores. Dit ziet men ook terug in enquêtes en dergelijke.

Hoe dan te kiezen tussen 4 en 5? Dat is vaak een kwestie van (persoonlijke) voorkeur. Het voordeel van een 4-puntsschaal is dat je daadwerkelijk moet kiezen tussen hoog en laag. Er is geen medium score, zoals 3 bij een vijfpuntsschaal, wat vaak als een veilige keuze voelt. Het voordeel van een 5-puntsschaal is juist de optie om iets van detail aan te kunnen brengen en wel die middenweg te kunnen kiezen. Als jij (en je gesprekspartner) duidelijke keuzes kunnen maken en goed kunnen motiveren waarom je voor het midden kiest, dan is een vijfpuntsschaal een goed optie. Wil je voorkomen dat mensen veilig in het midden gaan zitten, kies dan de vierpuntsschaal.

4. Verlies jezelf niet in het proces: ik zie dat veel organisaties zo bezig zijn met het invullen van de stappen en het creëren van mooie overzichten zoals de heatmap, dat ze het einddoel vergeten. De risico score is een inschatting gebaseerd op ervaring en professioneel inzicht; denk er niet te veel over na. Het creëren van een heatmap is uberhaupt niet verplicht, er zijn genoeg alternatieven voor. Een lijst met de risico’s van hoog naar laag werkt bijvoorbeeld net zo goed. Maar houdt je einddoel in zicht: het beheersen van de relevante risico’s. Het bepalen van de risicoscore is dus een hulpmiddel om te beslissen waar je energie en tijd naartoe moet.

Beeldwerk via Unsplash.