Eén van mijn best gelezen posts is die over beheermaatregelen en controls. Hierin leg ik uit wat het zijn en in welke categorieën je ze kunt onderverdelen. Dit kan zeer nuttig zijn wanneer je naar manieren zoekt om je risico’s te beheersen. In de praktijk zie je vaak dat organisaties kiezen voor één van de twee praktische methodes, namelijk de Demming-cycle (PDCA-cyclus) of het bowtie-model. Deze methodes kunnen handig zijn om op een vaste manier je risico’s te inventariseren en te beheersen. Beiden zijn zeer nuttig, in deze post leg ik uit wat beide inhouden en hoe je ze kunt toepassen.

Demming-cycle (PDCA-cyclus)

Wat is de Demming cycle, ook wel de PDCA cyclus genoemd? Wikipedia geeft een goede samenvatting: De kwaliteitscirkel van Deming is een creatief hulpmiddel voor kwaliteitsmanagement en probleemoplossing ontwikkeld door William Edwards Deming. De cirkel beschrijft vier activiteiten die op alle verbeteringen in organisaties van toepassing zijn. De vier activiteiten zorgen voor een betere kwaliteit. Het cyclische karakter garandeert dat de kwaliteitsverbetering continu onder de aandacht is. De indeling komt voort uit het wetenschappelijke proces zoals dat door Francis Bacon (Novum Organum, 1620) werd geformuleerd: hypothese – experiment – evaluatie. De vier activiteiten in de kwaliteitscirkel van Deming zijn:

• PLAN: Kijk naar huidige werkzaamheden en ontwerp een plan voor de verbetering van deze werkzaamheden. Stel voor deze verbetering doelstellingen vast.
• DO: Voer de geplande verbetering uit in een gecontroleerde proefopstelling.
• CHECK: Meet het resultaat van de verbetering en vergelijk deze met de oorspronkelijke situatie en toets deze aan de vastgestelde doelstellingen.
• ACT: Bijstellen aan de hand van de gevonden resultaten bij CHECK.

Kern van deze visie is dat elke medewerker aan een (productie)proces op deze manier in staat is om zijn eigen werkwijze te beoordelen en te verbeteren. De handelingen van de medewerker vormen namelijk een eigen deelproces van het hoger gelegen proces. Management dient de analyse te doen over de hoger gelegen processen, de directie voor de primaire bedrijfsprocessen. Deze kwaliteitscirkel-methode wordt vaker onbewust impliciet dan bewust expliciet toegepast.

Deming heeft zijn cirkel gebaseerd op de verbetercirkel van de natuurkundige Walter A. Shewhart. Zelf heeft Deming hem ook altijd de shewhart-cirkel of PDSA-cyclus genoemd. Vaak wordt beweerd dat Deming zelf de term ‘Study’ van Shewhart heeft vervangen door de term ‘Check’ omdat dit beter aansluit bij de bedoeling van die stap. Dit is onjuist. Die verandering is door een Japanner doorgevoerd. Welke Japanner is onbekend: niemand heeft deze aanpassing opgeëist. Door de aanpassing ontstond de PDCA-cyclus. Het is een belangrijk onderdeel van lean manufacturing en Six Sigma.

Het bowtie-model

Het bowtie (vlinderdas) model is meer een analyse van het risico, of de onzekere gebeurtenis. Op deze website wordt het helder uitgelegd:

De BowTie-methode is een kwalitatieve risicoanalyse methode waarmee op een systematische  wijze een beeld kan worden verkregen van de risico’s die in een organisatie aanwezig zijn en van de preventieve en beschermingsmaatregelen die hierop (kunnen) worden ingezet. Risico’s, bedreigingen, preventieve en beschermingsmaatregelen zijn in één model verenigd. Centraal staat de ongewenste gebeurtenis. Links de oorzaken, rechts de gevolgen. Beheersmaatregelen toont men in de vorm van barrières.

In de tekst wordt slechts naar twee soorten beheersmaatregelen gerefereerd: de preventieve en de beschermde (oftewel mitigerende/repressieve) beheersmaatregelen. Ik mis hierbij de detectie: hoe kom je er uberhaupt (tijdig) achter dat er een brand woedt, als je geen rookmelder hebt? Ik heb dan ook zelf een simpele grafische weergave gemaakt hoe het model eruit ziet. Snap je ook meteen waarom het een vlinderdas wordt genoemd.

Links een trechter met daarin de oorzaken, of aanleidingen van een risico. Dit kunnen er per risico veel of weinig zijn, maar uiteindelijk trechteren ze naar een punt waarop het risico zich daadwerkelijk voordoet. Hierna komt weer een trechter, maar dan gespiegeld, want de gevolgen kunnen steeds verder uitwaaieren en escaleren. In het geel staan de beheersmaatregelen (controls) met een pijl naar het punt waarop ze thuis horen. Een preventieve beheersmaatregel heeft weinig zin als deze wordt ingezet nadat het risico zich al heeft voorgedaan, al zijn er wel uitzonderingen te bedenken. Brandwerend materiaal wordt preventief aangebracht om een brand zoveel mogelijk te vertragen, waarmee de schade beperkt wordt. Dit heeft dus voornamelijk een repressieve werking.

Verschillen en voor- en nadelen

Beide methodes hebben zowel voor- als nadelen. ik benoem deze kort en vergelijk ze met elkaar. Allereerst het grote voordeel van de PDCA-cyclus: het grote voordeel is dat deze in een continue doorlopende cirkel werkt waarbij doorlopende verbetering mogelijk is; dit zit vooral in het tweede deel, de check en act stappen. Je gaat hierbij na of processen e.d. juist, tijdig en volledig worden uitgevoerd en grijpt in waar nodig. Dit kan herstellend zijn (als het niet juist wordt uitgevoerd), of verbeterend zijn, (als het wel juist wordt uitgevoerd maar de beheersmaatregelen ontoereikend of juist veel te zwaar blijken). Vooral dit laatste wordt in mijn ervaring vaak vergeten; men kijkt alleen maar of het risico beheerst wordt, niet of het optimaal beheerst wordt. Soms kun je met “lichtere” beheersmaatregelen hetzelfde effect bereiken, die minder tijd en/of geld kosten.

De bowtie methode kent deze feedback loop niet. Deze methode is wat statischer, maar heeft een groot voordeel wat de PDCA cyclus weer niet heeft: het volledig verkennen van een risico en daarmee goed kunnen afdekken van het risico door verschillende beheermaatregelen in te richten. Juist doordat de bowtie het risico als middelpunt ziet, kun je met deze methode veel accurater analyseren hoe en wanneer je risico beheerst. Soms is het namelijk onmogelijk om vooraf een risico te voorkomen (denk aan zware hagelbuien of geweldplegingen door derden), of is juist repressie lastig (denk aan klanten die je factuur niet betalen). Juist doordat je met de bowtie hier inzicht in krijgt, kun je veel gerichter beheersing toepassen die ook echt werkt op het risico in kwestie. Dit komt zowel de effectiviteit als de efficiëntie te goede.

Conclusie

Zoals je hebt kunnen lezen verschillen beide methodes zeer en hebben ze allebei sterke en zwakke punten. Maar welke is geschikt voor jouw? Daar is geen eenduidig antwoord op te geven, er kunnen meerdere factoren zijn dit beïnvloeden: bijvoorbeeld de volwassenheid van risico management in jouw organisatie, de huidige methode die je gebruikt en je eigen voorkeur. De één is wat visueler ingesteld en trekt sneller naar de bowtie, de ander houdt wat meer van procesmatig werken en vindt de PDCA cyclus meteen al fijner.

Mijn persoonlijke voorkeur gaat uit naar het combineren van beide methodes: begin met de bowtie en pak daarna door met de PDCA cyclus. Met de bowtie methode kun je namelijk goed het risico analyseren en je beheersmaatregelen goed inrichten. Daarna zet je de PDCA cyclus in om de controls goed te monitoren en verbeterpunten te identificeren. Zo versterken ze elkaar en heb je de voordelen van beide methodes te pakken.