In mijn vorige twee posts heb je kunnen lezen hoe risicoscoring bij de meeste organisaties in zijn werk gaat. Er wordt vrijwel exclusief gescoord op kans en impact. Ik heb nog nooit een derde factor gezien, maar ik denk dat die er wel kan zijn. Om dit goed te begrijpen leg ik eerst kort uit welke drie soorten beheersmaatregelen (“controls” in het Engels) er zijn.

1. Preventieve controls: beheersmaatregelen die voorkomen dat een risico zich uberhaupt voordoet. Zoals het verbieden van open vuur, of het gebruik van brandveilige stroomkabels e.d.
2. Detectieve controls: beheersmaatregelen die een risico kunnen opsporen. Dit kan vooraf, tijdens of na het voorvallen van het risico. Denk bijvoorbeeld aan een brandmelder.
3. Repressieve controls: beheersmaatregelen die de impact van een risico kunnen beperken. Denk hierbij aan een brandblusser of sprinklerinstallatie.

Er kan ook overlap zijn tussen de controls. Een detectieve control heeft vaak ook een preventieve werking: hoe groter de kans op om diefstal betrapt te worden, hoe minder snel iemand het zal proberen. Ook kan het een repressieve werking hebben: hoe eerder je een brand ontdekt, hoe sneller deze geblust kan worden en de schade beperkt blijft. Ze kunnen ook heel goed samenwerken: waterschade door blussen kan beperkt worden door het tijdig ontdekken van brand. De brand blijft dan klein, er is minder water nodig om te blussen en dus blijft de waterschade ook beperkt.

Preventieve controls beïnvloeden vooral de kans van een risico, repressieve controls beïnvloeden vooral de impact van een risico. De detecteerbaarheid van een risico kan dus ook verhoogd worden door goede controls in te voeren, maar dit scoren we niet wanneer we een risico analyseren. Terwijl het wel handig kan zijn om deze factor mee te nemen: een risico die lastig op te sporen is kan uiteindelijk meer impact hebben dan een risico dat je binnen een mum van tijd opgemerkt hebt. Hoe eerder je erbij bent, hoe minder schade. Denk maar terug aan de brandmelder.

Een ander praktijk voorbeeld, dit keer uit de hypotheekmarkt. Voorafgaand aan het verstrekken van een hypothecaire lening wordt er vooraf goed gekeken naar een aantal aspecten: het inkomen van de aanvrager(s) is hierbij een grote factor, vooral als het gaat om de betaalbaarheid van de lening en hoe groot de kans is dat deze netjes, geheel en tijdig wordt terugbetaald. Vragen die dan gesteld worden zijn bijvoorbeeld: is het inkomen voldoende om de lasten te dragen? Is het inkomen (toekomst)bestendig? Dit zijn vooral preventieve controls: men probeert te voorkomen dat een lening verstrekt wordt die achteraf niet geheel terugbetaald wordt. Een hypothecaire lening heeft één grote repressieve control: het onderpand waarop hypothecaire zekerheid wordt gegeven.

Ook al zijn deze checks vooraf positief, toch kan iemand achteraf (dus tijdens de looptijd van de lening) problemen krijgen met de betaalbaarheid van de lening. Door bijvoorbeeld een verlies van inkomen, of zelfs overlijden van (één van) de aanvrager(s). De achterstanden kunnen in zo’n geval snel oplopen weet ik uit werkervaring. Een aantal geldverstrekkers zijn dan ook druk bezig om te kijken hoe ze betaalproblemen vroegtijdig kunnen opsporen. Oftewel, ze werken aan de detecteerbaarheid van het betaalbaarheidsrisico.

Ik durf het wel aan om de discussie te starten: waarom gaan we de detecteerbaarheid niet scoren? Een heatmap met 3 assen wordt misschien wat lastig (3D?), maar je kunt prima drie lijstjes maken en de verschillende scores bijvoorbeeld optellen om tot een rangschikking te komen. Wat vind jij? Laat het weten in de comments!

Beeldwerk via Unsplash.