Recent kwam ik in aanraking met een medisch-wetenschappelijk onderzoek. Hierin werd de betrokkene (patiënt) gevraagd naar een aantal medische gegevens. Dit is op zich niet vreemd. Wat mij opviel, is dat er ook medische gegevens gevraagd werden van familieleden van deze patiënt. Niet alleen ouders, zussen en broers, maar ook grootouders, tantes en ooms. Per persoon moesten zowel naam, geboortedatum, relatie tot de patiënt (vader, tante, opa) als specifieke medische kenmerken ingevuld worden.
Voor een onderzoek snap ik dat het interessant en belangrijk is om bepaalde (genetische) kenmerken uit te vragen, om bijvoorbeeld beter te kunnen onderzoeken en snappen waar bepaalde aandoeningen vandaan komen. Maar de patiënt die deze gegevens aanlevert, is niet de eigenaar van de medische gegevens van haar of zijn familieleden. Terwijl die wel specifiek én herleidbaar naar de persoon worden verwerkt. Mag dit wel?
Wat houdt de AVG in?
In mei 2016 is de AVG (GDPR in het Engels) in werking getreden. De Algemene Verordening Gegevensbescherming ziet toe op de regels voor de verwerking van persoonsgegevens door particuliere bedrijven en overheidsinstanties in de hele Europese Unie. Onder verwerking wordt zowel de opslag van gegevens verstaan, als het gebruik ervan in analyses. Om gegevens te mogen verwerken, moet een organisatie een goede reden hebben om die gegevens te verwerken; het zijn immers persoonlijke gegevens die een inbreuk kunnen hebben op de privacy van personen. In juridische termen heet wordt een goede reden de grondslag genoemd.
De AVG noemt zes verschillende grondslagen die het verwerken van persoonsgegevens kunnen rechtvaardigen. Je hoeft dus niet aan alle zes de grondslagen te voldoen, één ervan is voldoende.
- De betrokkene heeft toestemming gegeven voor de verwerking van persoonsgegevens voor een of meer specifieke doeleinden. Daarom moet je bijv. toestemming geven voor cookies.
- Verwerking is noodzakelijk voor de uitvoering van een contract waar betrokkene deel van is of om op verzoek van de betrokkene stappen te ondernemen voordat hij een contract sluit. Denk aan een arbeidscontract, of een verzekering afsluiten.
- Verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting waaraan de voor de verwerking verantwoordelijke is onderworpen. Een werkgever die belasting moet afdragen voor werknemers.
- Verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te behartigen. Een notaris bijvoorbeeld.
- De verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of voor de uitoefening van officiële autoriteit van de voor de verwerking verantwoordelijke. DIt kan een Waterschap zijn dat een informatie brief stuurt naar omwonenden; ze hebben dan je naam en adres nodig.
- Verwerking is noodzakelijk met het oog op de rechtmatige belangen die door de voor de verwerking verantwoordelijke of door een derde worden behartigd, tenzij de belangen of fundamentele rechten en vrijheden van de betrokkene, die bescherming van persoonsgegevens vereisen, prevaleren boven deze rechtmatige belangen, met name wanneer de betrokkene een kind is. Dit geeft in feite aan dat soms (privacy) belangen kunnen botsen, en dat alleen in zwaarwegende gevallen je dan toch persoonsgegevens van een ander mag verwerken.
Aan nummer 1 wordt voldaan door de patiënt met betrekking tot haar of zijn eigen gegevens, maar niet met betrekking tot de gegevens van familieleden. Op het formulier werd geen toestemming aan de familieleden gevraagd. Nummer 4 is op zich relevant voor de patiënt en mogelijke toekomstige patiënten, maar is niet relevant voor de behandeling van de patiënt. Het gaat hier om onderzoek om toekomstige behandelingen uit te vinden of te verbeteren. Dus de patiënt die de gegevens verstrekt heeft er op dat moment geen baat bij.
Wat zijn de specifieke regels omtrent medische gegevens?
De AVG maakt vervolgens nog melding van bijzondere persoonsgegevens. Persoonsgegevens die door hun aard bijzonder gevoelig zijn, krijgen extra bescherming in de Algemene verordening gegevensbescherming (AVG). Onder deze gegevens vallen ook genetische gegevens en biometrische gegevens als deze herleidbaar zijn tot een persoon. We noemen deze gegevens bijzondere persoonsgegevens (AVG: bijzondere categorieën van persoonsgegevens). De AVG ziet de volgende persoonsgegevens als bijzondere persoonsgegevens:
- persoonsgegevens waaruit ras of etnische afkomst blijkt;
- persoonsgegevens waaruit politieke opvattingen blijken;
- persoonsgegevens waaruit religieuze of levensbeschouwelijke overtuigingen blijken;
- persoonsgegevens waaruit het lidmaatschap van een vakvereniging blijkt;
- gegevens over iemands gezondheid;
- gegevens over iemands seksueel gedrag of seksuele gerichtheid;
- genetische gegevens;
- biometrische gegevens met het oog op de unieke identificatie van een persoon.
De verwerking van bijzondere persoonsgegevens is verboden. Tenzij men zich kan beroepen op een wettelijke uitzondering én op een van de grondslagen voor het verwerken van ‘gewone’ persoonsgegevens. In de praktijk vallen sommige van die uitzonderingen en grondslagen samen. Nummers 1, 5, 7 en 8 kwamen voor de in genoemde vragenlijst, en dus moet de organisatie zich houden aan de vereisten voor bijzondere persoonsgegevens én een grondslag hebben uit de eerdere lijst van zes.
Uitzonderingen in de AVG m.b.t. medische gegevens
In de Algemene verordening gegevensbescherming (AVG) staan tien uitzonderingen op het verbod om bijzondere persoonsgegevens te verwerken. Dat betekent dat het verbod niet geldt wanneer de organisatie zich kan baseren op een van de grondslagen voor het verwerken van ‘gewone’ persoonsgegevens én op een van de uitzonderingen op het verwerkingsverbod.
Van de tien uitzonderingen uit de AVG zijn er 5 die alleen van toepassing zijn als hiervoor in de nationale wet een rechtsbasis is gecreëerd. Dat betekent dat men zich alleen op zo’n uitzondering kunt beroepen als er in een Nederlandse wet staat dat dit mag. De 10 uitzonderingen zijn:
- 1. Iemand heeft uitdrukkelijk toestemming gegeven voor de verwerking van zijn/haar persoonsgegevens. Kan van toepassing zijn, maar was hier NIET het geval.
- 2. (alleen als het in een wet staat) De verwerking is noodzakelijk om verplichtingen uit te voeren of specifieke rechten uit te oefenen van u of de betrokken persoon. Dit op het gebied van het arbeidsrecht, het socialezekerheidsrecht en het socialebeschermingsrecht. Niet van toepassing.
- 3. De verwerking is noodzakelijk om de vitale belangen van de betrokken persoon of van een andere natuurlijke persoon te beschermen. Dit geldt alleen wanneer diegene fysiek of juridisch niet in staat is om zijn/haar toestemming te geven. Niet van toepassing.
- 4. U verwerkt de gegevens als stichting, vereniging of andere instantie zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is. Het gaat om gegevens van uw (oud)leden of personen met wie u regelmatig contact heeft gerelateerd aan uw doelstelling. En u verwerkt de gegevens voor gerechtvaardigde activiteiten en met passende waarborgen. Niet van toepassing.
- 5. U verwerkt persoonsgegevens die de betrokkene zelf doelbewust openbaar heeft gemaakt. Niet van toepassing. (er vanuit gaande dat de meeste mensen hun medische geschiedenis niet openbaar maken)
- 6. De verwerking is noodzakelijk om een rechtsvordering in te stellen, uit te oefenen of te onderbouwen. Of u handelt als gerecht vanuit uw rechtsbevoegdheid. Niet van toepassing.
- 7. (alleen als het in een wet staat) De verwerking is noodzakelijk voor een zwaarwegend algemeen belang. Niet van toepassing.
- 8. (alleen als het in een wet staat) De verwerking is noodzakelijk voor doeleinden van preventieve of (arbeids)geneeskundige aard. Zoals het beoordelen van arbeidsgeschiktheid en/of het verstrekken van gezondheidszorg. Niet van toepassing.
- 9. (alleen als het in een wet staat) De verwerking is noodzakelijk voor de volksgezondheid. Niet van toepassing.
- 10. (alleen als het in een wet staat) De verwerking is noodzakelijk voor archivering in het algemeen belang, wetenschappelijk/historisch onderzoek of statistische doeleinden. Van toepassing.
Zo te lezen zijn er dus grondslagen waarmee een onderzoeker deze medische gegevens mag verwerken. Zoals ik de artikel van de AVG lees, hoeft er dus geen uitdrukkelijke toestemming gegeven te worden als in de wet staat dat deze gegevens noodzakelijk zijn voor archivering in het belang van wetenschappelijk onderzoek. Dat gebeurde hier niet, maar als jij überhaupt niet weet dat jouw gegevens ergens liggen, dan kun je ook geen toestemming geven. En dus rees bij mij het vermoeden dat dit al jaren “normaal” is en dat deze gegevens dus al jaren uitgevraagd en verwerkt worden.
De realiteit
Het lijkt erop dat iedereen erop kan vertrouwen dat haar of zijn persoonlijke gegevens niet zonder toestemming worden verwerkt door een medisch onderzoeker, wanneer je deze zelf verstrekt. Gezien de hoeveelheid aan medisch-wetenschappelijk onderzoek in Nederland (gemiddeld geeft de overheid zo’n 1,6 miljard euro per jaar uit), doe ik de aanname dat familie gegevens regelmatig uitgevraagd worden, en werden in het verleden. Dit zou betekenen dat er mogelijk van duizenden niet-patiënten gegevens verwerkt en gebruikt worden in medisch onderzoek. Mogelijk zit jij daar ook bij, zonder dat je het weet.
Voor de volledigheid: ik wil niet suggereren dat artsen, onderzoekers en ander personeel onzorgvuldig omgaan met medische gegevens. Ook trek ik niet in twijfel dat medisch onderzoek niet nuttig is, dat is het wel. Als bloed- en plasmadonor werk ik daar zelf ook aan mee, met als verschil dat ik zélf uitdrukkelijk toestemming geef voor gebruik van mijn gegevens en mijn bloed. Overigens stelt de bloedbank ook vragen over je familiehistorie, maar dan zonder dit specifiek per persoon vast te leggen. Bijvoorbeeld: komt de ziekte Creutzfeldt-Jakob in uw familie voor? Relevante informatie dus, die niet herleidbaar naar iemand anders dan ikzelf wordt verwerkt.
Navraag bij de betreffende organisatie leverde geen sluitend antwoord op: men gaf aan de laatste tijd pas een aantal vragen hierover gehad te hebben, en ging uitzoeken hoe hiermee om te gaan. De AVG is ondertussen al vijf(!) jaar van kracht, en men weet dit dus niet. Ik ben hier behoorlijk van geschrokken en stel hier dus de vraag: bij hoeveel ziekenhuizen, klinieken, universiteiten en overheidsinstanties is er geen duidelijk beleid en werkwijze voor het verwerken van deze gegevens?
Of het een overtreding van de AVG is, durf ik niet te zeggen. Ik ben geen jurist, maar ik ga het zeker navragen bij iemand die hier antwoord op kan geven. Ik kom er in een nieuwe blogpost dan op terug. Weet jij het antwoord? Dan hoor ik het graag!
Eerder schreef ik over goed inventariseren wat nu precies je strategische risico’s zijn. Vooral het verschil tussen de hygiëne/business risico’s en de strategische risico’s is niet voor iedereen helder. Vandaag sta ik wat uitgebreider stil bij de relatie tussen je strategie en je risico’s: welke invloed hebben ze op elkaar?
Strategie -> risico
Niet iedereen is het met mij eens (en dat mag) dat je gekozen strategie ook je strategische risico’s bepaalt. Ter illustratie: het gevaar van datalekken, of wellicht de integriteit van je medewerkers zijn belangrijke aandachtspunten maar geen strategische risico’s. Deze risico’s zijn namelijk altijd relevant voor je organisatie. Als je van strategie wisselt (rigoureus of subtiel) dan valt het risico op datalekken niet ineens weg. Ook de integriteit van de medewerkers dient doorlopend van hoog niveau te zijn. Ik noem dit soort permanente risico’s ook wel business of hygiëne risico’s; je dient ze altijd op orde te hebben. Je kunt hier meer over in dit artikel.
Hoe beïnvloedt de strategie dan wat je risico’s zijn? Laten we een klassiek restaurant nemen dat heeft besloten de komende twee jaar meer in te zetten op bezorgmaaltijden, naast de omzet die ’s avonds ter plekke in het restaurant wordt gegenereerd. Dan kunnen de volgende punten strategische risico’s zijn:
- De kosten van bestel- en bezorgapps zoals Ubereats en Thuisbezorgd.nl. Participatie op deze platformen is niet gratis, en als de kosten te hoog worden dan zijn bezorgmaaltijden niet meer rendabel.
- Wetgeving rondom het gebruik van single-use kunststof verpakkingen. Als deze verboden worden, of er wordt een zware belastingheffing op gelegd, kunnen alternatieve verpakkingskosten te hoog worden.
- Beschikbaarheid personeel, zoals bezorgers en koks. Meer maaltijden betekent meer mensen die ze klaarmaken, én die ze rondbrengen. Zonder deze mankracht kan er wel verkocht maar niet geleverd worden.
- Inkoopkosten van ingrediënten vs. de prijs die consumenten bereid zijn te betalen voor bezorgmaaltijden. Ook deze prijsschommelingen (door bijvoorbeeld mislukte oogsten) kunnen bezorgmaaltijden onrendabel maken.
Zoals je kunt zien komen deze risico’s direct voort uit de gekozen strategie. Misschien zijn er nog meer risico’s te verzinnen, dit laat ik achterwege t.b.v. de beknoptheid van dit artikel. Over de beschikbaarheid van personeel valt te discussiëren, dit is ook een punt als je niet bezorgt. Het ligt maar net aan de arbeidsmarkt op het moment dat je van start wilt gaan. Als de ondernemer in kwestie het relevant vindt voor de strategie: erin houden. Zo niet? Eruit.
Nog een observatie: al deze risico’s komen voort uit de externe omgeving van deze onderneming. Het is lastig, zo niet onmogelijk voor de individuele ondernemer om effectief invloed uit te oefenen op deze risico’s. In de praktijk betekent dit dat je overgeleverd bent aan de grillen van de markt en de politiek. Daar waar de wetgeving rondom verpakkingen niet iedere dag zal veranderen en dus nog redelijk overzichtelijk is, kan de voedselmarkt wel dagelijks sterk fluctueren met alle mogelijke gevolgen van dien.
Risico -> strategie
Kunnen risico’s je strategie ook beïnvloeden? Uiteraard, daarom breng je ze in kaart. Maar ik bedoel hier een ander moment dan nadat je je strategie uitgestippeld hebt. Namelijk de periode waarin je nadenkt welke strategie je gaat volgen, dus vooraf. De meeste ondernemers/directies gaan pas nadenken over strategische risico’s als de strategie al in beton gegoten is. Waarom dan pas en niet een paar stappen eerder?
Laten we ons restaurant weer als voorbeeld nemen. Onze ondernemer heeft de keuze gemaakt om in te zetten op bezorgmaaltijden als alternatieve inkomstenbron naast het runnen van een restaurant op locatie. Hieruit volgen de vier genoemde risico’s, allen extern. Wat gebeurt er als we het proces deels om draaien?
Bepaal eerst een aantal mogelijke strategieën – dit kan op vrij hoog niveau. Voor ons restaurant kan dat bijvoorbeeld zijn: een tweede locatie openen, overdag ook open gaan en dan een borrelkaart aanbieden gericht op “terrasgasten”, bezorgmaaltijden, en kookcursussen geven. Vervolgens bepaal je per strategie welke specifieke risico eraan verbonden. Dit zou je bijvoorbeeld in een tabel overzichtelijk kunnen indelen.
| Strategie – Risico | LOCATIE | Fluctuerende kosten | Personeel | Wetgeving |
|---|---|---|---|---|
| Tweede locatie | Geschikt pand met juiste bestemming | Ingrediënten | Koks + kelners | |
| Borrelkaart | Beschikbaar terras | Ingrediënten | Koks | |
| Bezorgmaaltijden | Aantal potentiële klanten binnen ~20 min fietsen | Ingrediënten + bestel- en bezorgapps | Koks + bezorgers | Single-use kunststof verpakkingen |
| Kookcursus | Ruimte in huidig pand/ nieuw pand | Ingrediënten | Koks |
Uit dit overzicht zijn een aantal snelle conclusies te trekken:
- De meeste risico’s zijn ook hier extern. De inrichting van het pand en geschiktheid voor kookcursussen is wat meer intern, daar heb je zelf veel invloed op.
- Wetgeving zorgt voor de minste belemmeringen.
- Het starten met bezorgmaaltijden kent vier risico’s, de andere opties hebben maar drie risico’s.
- Koks en de fluctuerende ingrediënten prijzen zijn in elk scenario een knelpunt; in dat geval zou mijn advies zijn dit risico te verhuizen naar de hygiëne risico’s en andere risico’s te laten staan.
- In alle scenario’s is de locatie een probleem, maar het verschil is dusdanig dat ik deze juist wel zou behouden.
Als ik de tabel dan aanpas, komt deze er als volgt uit te zien:
| Strategie – Risico | LOCATIE | Fluctuerende kosten | Personeel | Wetgeving |
|---|---|---|---|---|
| Tweede locatie | Geschikt pand met juiste bestemming | Kelners | ||
| Borrelkaart | Beschikbaar terras | |||
| Bezorgmaaltijden | Aantal potentiële klanten binnen ~20 min fietsen | Bestel- en bezorgapps | Bezorgers | Single-use kunststof verpakkingen |
| Kookcursus | Ruimte in huidig pand/ nieuw pand |
Conclusie
Bezorgmaaltijden blijft vier strategische risico’s houden, de borrelkaart en het geven van kookcursussen hebben beide maar één strategisch risico. Mijn advies zou zijn om deze twee scenario’s verder te onderzoeken; het kan altijd zijn dat kookcursussen eenvoudig niet past in je huidige pand, of dat je terras te klein is om het rendabel te laten zijn om overdag open te gaan. Een klein beetje onderzoek en iets meer brainstormen levert dus waardevolle inzichten op waarmee je doelgericht een goede, haalbare strategie kunt kiezen die de meeste kans van slagen heeft.
Door de jaren heen heb ik veel bijeenkomsten, sessies en discussies gehad over risico’s op strategisch niveau. Vaak kwam ik enige verwarring tegen over welke risico’s echt strategisch zijn en welke niet. Ik heb een eenvoudig systeem gemaakt dat onderscheid maakt tussen drie verschillende risico’s op hoog niveau, die ik vandaag zal delen. Ik heb ze strategische, entiteitsniveau en ondernemingsrisico’s genoemd.
Wat zijn risico’s?
Allereerst zal ik kort definiëren wat risico’s zijn. Ik weet dat iedereen zijn eigen definitie heeft en dat is oké, in het belang van dit artikel is één definitie handig. Een risico is een mogelijke gebeurtenis of categorie van gebeurtenissen die een negatieve en / positieve impact kan hebben op deorganisatie / op het bereiken van je doelen.
Wat is een strategisch risico?
Een strategisch risico kan van invloed zijn op de uitvoering van de gedefinieërde strategie of het bereiken van de gedefinieërde strategische doelen. Meestal is deze impact negatief. Een positieve impact kan worden gecategoriseerd als een kans. De crux hierbij is dat wanneer de strategie verandert – voor de meeste organisaties gebeurt dit elke 2 tot 5 jaar – de strategische risico’s ook veranderen. Tenzij de strategie 180 graden verandert, zal er enige overlap zijn tussen de oude strategische risico’s en de nieuwe. Maar toch zijn ze altijd gebonden aan wat er in de strategie is gedefinieerd.
Een voorbeeld: stel dat een deel van de strategie het betreden van een nieuwe markt is en die markt een nieuw land is. Dan is misschien een strategisch risico de politieke stabiliteit in dat land. Verandert de strategie en wordt besloten geen nieuw land binnen te gaan, dan verdwijnt ook dit risico.
Wat is een entiteitsrisico?
Een risico op entiteitsniveau is een risico dat zich in de hele organisatie voordoet, maar (veelal) centraal wordt beheerd. Deze risico’s veranderen zelden wanneer de strategie verandert, omdat men ze moet beheersen, ongeacht de huidige strategie.
Een voorbeeld: integriteit van medewerkers. Hoewel de gemiddelde leidinggevende zo nu en dan de integriteit van zijn collega’s zal controleren, wordt het grootste deel ervan vaak beheerd door HR: ze voeren controles uit voor indiensttreding, laten werknemers NDA’s ondertekenen of leggen misschien een eed af (bv. bankmedewerkers moeten dit in Nederland). Allemaal maatregelen om enige controle uit te oefenen op de integriteit van medewerkers. Als elke rekruterende leidinggevende zijn eigen controles vóór indiensttreding zou moeten uitvoeren, zou het een puinhoop zijn, om nog maar te zwijgen van de inefficiëntie.
Het risico vinkt beide vakjes aan: het komt voor in de hele organisatie (persoonlijk zou ik graag willen dat al mijn collega’s integer zijn) en het wordt (meestal) aangestuurd op een centrale locatie: HR.
Wat is een ondernemingsrisico?
Deze risico’s kunnen ook hygiënerisico’s of bedrijfsrisico’s worden genoemd. Deze risico’s kunnen het levensonderhoud van een organisatie aantasten, komen niet per se door de hele organisatie voor en worden ook niet altijd centraal beheerd. Dit zijn meestal checks en balances waarvan je zou verwachten dat ze alle organisaties op orde hebben (maar een verrassend / alarmerend aantal organisaties doet dat eigenlijk niet!).
Voorbeelden: een gezonde en stabiele financiële situatie. Genoeg geld verdienen om het hoofd boven water te houden. Correcte financiële gegevens. De boekhoudkundige / financiële afdeling zal een groot deel van het werk doen dat met de genoemde risico’s gepaard gaat, maar andere afdelingen kunnen ook inspraak hebben. En genoeg geld verdienen is echt ieders verantwoordelijkheid.
Overlap is normaal
De risico’s kunnen elkaar vaak overlappen. Identiteits- en toegangsbeheer is bijvoorbeeld zowel een entiteitsniveau (beheerd door een IT-afdeling) als een ondernemingsrisico (hygiëne). Ik zie dit niet als een strategisch risico; een datalek kan nadelig zijn voor elke organisatie met welke strategie dan ook, wanneer dan ook.
Het kan ook zijn dat een van oorsprong strategisch risico evolueert naar een ondernemingsrisico. Overweeg bijvoorbeeld een theater-startup. Hun tweejarige strategie is om voet aan de grond te krijgen op de theatermarkt door twee toneelstukken per jaar te produceren. In hun eerste jaar hebben ze berekend dat het verwerven van een overheidssubsidie ​​hun marketingbudget aanzienlijk zal verhogen, waardoor de kans op succes bij het creëren van die voet aan de grond sterk wordt vergroot. Het niet krijgen van die subsidie ​​wordt een strategisch risico. En een nog groter risico als ze geen ervaring hebben met het aanvragen ervan.
In latere jaren is hun inkomstenstroom misschien sterk genoeg om te overleven zonder subsidie ​​of hebben ze voldoende ervaring met het aanvragen ervan, het wordt een zaak van zaken die niet langer van invloed is op hun specifieke strategie, als kan het wenselijk blijven om die subsidie te krijgen.
Hoe te kiezen en waarom te kiezen
Dus hoe kiezen we waarop we ons concentreren? Voor de laatste twee categoriën: deze moeten te allen tijde worden beheerd. Ik geef persoonlijk de voorkeur aan een vorm van controletesten en / of rapporteren over deze risico’s. Ook is een duidelijk onderscheid tussen deze twee niet altijd nodig, zolang er maar een duidelijk onderscheid wordt gemaakt tussen strategische en niet-strategische risico’s. Voor de strategische risico’s geef ik de voorkeur aan een inschatting van welke risico’s het hoogste risiconiveau hebben, resulterend in een top 3, top 5 of misschien wel top 10. Focus staat centraal, dus tussen 3 en 5 zou naar mijn mening het beste zijn.
Waarom kiezen? In mijn ervaring kunnen ondernemings- / entiteitsrisico’s worden “ondergesneeuwd” door andere risico’s omdat er geen duidelijk onderscheid is. Ik heb gezien dat directies geen aandacht schenken aan datalekrisico’s omdat andere strategische risico’s een hoger risiconiveau kregen (door een waarschijnlijkheids- / impactanalyse) en dus dat was waar de budgetten naartoe gingen. Door dit onderscheid te maken wordt het voor de bestuursleden dus duidelijk voor welk risico altijd budget nodig is, en wat pas een risico wordt door een bepaald gekozen pad. Wat misschien ook gevolgen heeft voor de juiste risicobereidheid, maar die discussie laat ik voor een andere keer.
Beeldwerk via Unsplash
Ik krijg wel eens de vraag wat voor nut het heeft voor een organisatie om een visie en missie te hebben. Dus vandaag een blog over vijf termen die je vaak voorbij hoort komen, wat ze betekenen en wat ze voor jou kunnen betekenen. Kleine disclaimer vooraf: er zijn veel interpretaties van deze onderwerpen, en ook genoeg experts op dit gebied. Ik heb verschillende ervaringen met deze onderwerpen en die vat ik hier samen. Wil je er echt mee aan de slag? Overweeg dan een expert op dit gebied in de arm te nemen.
Definities
Visie: jouw eigen beeld van/blik op de wereld. Dit kan de huidige stand van zaken zijn, maar ook een toekomstbeeld. Dat laatste zie je vooral vaak bij goede doelen, die willen de wereld beter maken dan nu het geval is.
Missie: borduurt verder op de visie en geft aan hoe jij met dat wereldbeeld aan de slag gaat. Soms beïnvloed je die wereld, maak je gebruik van een situatie of voeg je er iets aan toe. Een combinatie kan ook. Hier zit vaak geen horizon aan vast.
Strategie: in feite hetzelfde als je missie, maar dan in wat concrete stappen vertaald en verpakt in een meer jarenplan. Dit kan een tijdsspanne van 1 tot 5 jaar zijn. Heel soms zie je een concrete deadline voorbij komen.
Kernwaarden: de gezamelijke eigenschappen, identiteit, drijfveren, motivatie, karakter van een organisatie. Gemiddeld zijn er vier kernwaarden benoemd, soms in enkele woorden, soms in korte zinnen. In principe laten kernwaarden zien waar een organisatie voor staat. Dus niet wát ze doen, maar hóe ze dat doen en hoe ze elkaar (collega’s, leveranciers, klanten) willen behandelen.
Purpose: deze term komt vaak bij Amerikaanse bedrijven voorbij. Het heeft vaak betrekking op de omgeving van de organisatie. Dus bijvoorbeeld hoe je werknemers behandeld, en hoe je met leveranciers omgaat. Maar ook of je m.b.t. de natuur verantwoord onderneemt. Purpose heeft dus indirect met je missie te maken, het zijn meer de activiteiten en invloeden eromheen.
Ambitie is een zesde term die ik vaak voorbij zie komen. Vaak geeft het aan waar een organisatie over een paar jaar wilt staan, en hoe zij hun plek in de markt zien. Ik zie daarin weinig verschil met visie en missie en de toegevoegde waarde is m.i. dan ook klein.
Als ik de bovenste vijf termen in een visueel overzicht giet dan komt het er ongeveer zo uit te zien. De cirkelwerking klopt ook: visie op de wereld, geeft richting aan de bijdrage van jouw organisatie aan diezelfde wereld. Je strategie vertelt (beknopt) hoe jij handelt t.b.v. die missie en je kernwaarden geven de grenzen aan (of juist het startpunt) van jouw handelen, zowel intern als extern richting je concrete doelen én de invloed naar buiten. En daarmee ben je weer terug bij je visie.
Voorbeelden uit de praktijk
Je ziet dat veel bedrijven hun statements niet “los” formuleren, maar als een paragraaf (of nog langer). Ik heb een aantal voorbeelden uit de praktijk gehaald waarbij ik de originele tekst als foto plak, met daarnaast/onder dezelfde tekst maar dan ingekleurd met de kleuren uit bovenstaand diagram. Zo zie je dat niet elke bedrijf elk concept gebruikt, en iedereen er wat anders van maakt. Dit is mijn eigen interpretatie, het kan zijn dat als jij zelf gaat kleuren je net even anders uit komt.
The mission of The Walt Disney Company is to entertain, inform and inspire people around the globe
through the power of unparalleled storytelling, reflecting the iconic brans, creative minds and innovative technologies
that make ours the world’s premier entertainment company
Zo zie je dat Disney het kort en krachtig houdt. Zij noemen hun missie, strategie en purpose. Visie en strategie zijn hier afwezig (maar staan wellicht ergens anders genoemd). Johnson & Johnson wijdt er vier paragrafen aan en gebruikt wel alle vijf de concepten. Deze staan her en der door elkaar genoemd, wat op zich niet uitmaakt: de gehele tekst is wel een samenhangend geheel en geeft goed weer wie ze zijn en wat ze doen. Ikea doet het ook wat korter en gebruikt daarin wél alle vijf de concepten.
We hebben een passie voor het leven thuis. Onze cultuur is ontstaan vanuit enthousiasme, samenhorigheid en een ‘aan-de-slag’-houding. We zijn optimisten
en voortdurend op zoek naar nieuwe en betere manieren om dingen te doen.
Van het ontwerp van een schommelstoel die in een platte verpakking past, tot het maken van led-lampen die voor iedereen betaalbaar zijn.
Onze visie is om een ​​beter dagelijks leven te creëren
voor zoveel mogelijk mensen – voor klanten, maar ook voor onze medewerkers en de mensen die bij onze leveranciers werken.
Gebruik of misbruik?
Ben je verplicht om deze concepten te gebruiken? Absoluut niet. En nee, ook niet “als een zichzelf respecterend bedrijf…” Sommige organisatie (en mensen) zijn erg gebaat bij structuur, en goed nadenken over wie ze zijn en wat ze doen. Anderen gaan juist heel goed op hun gevoel en vanuit daar werken. Ik hoor wel eens dat het slechts voor marketing doeleinden goed is. Er zijn inderdaad bedrijven die het zo inzetten (en dat mag en kan ook gewoon), ik vind zelf dat er meer achter (/in) kan zitten.
De meeste toegevoegde waarde zie ik in het neerzetten van je niche of toegevoegde waarde. Hierdoor kun jij je makkelijker profileren en onderscheiden van andere organisaties. Je creëert een herkenbaar profiel van je organisatie, een identiteit in feite. Het helpt ook met nee zeggen tegen opdrachten e.d. die jou niet liggen, en daarmee ruimte makend voor klussen waar je wél goed in bent, energie van krijgt en topwerk aflevert. Ten slotte kan het helpen je ideale klant te identificeren en een koers uit te zetten hoe je die binnen haalt.
Dus gebruik deze concepten als die voor jou goed werken; brainstorm eens met collega’s, vrienden familie of andere ondernemers. Wat maakt jou, “jou”? Hoe pakkender je dit geformuleerd krijgt hoe beter jij jezelf neer kunt zetten. Nu ik dit zo typ bedenk ik me dat het zelfs de basis kan zijn van een goed pitch. Maar dan ook écht in één minuut!
Krijg je al rillingen bij de suggestie? Doe het dan niet. Ik ben een groot voorstander van bij jezelf blijven, dan ben je het sterkst. Door nep en geveinst prikken de meeste mensen zo heen.
Vandaag leg ik je uit wat beheersmaatregelen zijn en welk onderscheid er wordt gemaakt.
Definitie van beheersmaatregelen
Allereerst: wat zijn het? Beheersmaatregelen is de Nederlandse term voor het Engelse controls: het gaat om maatregelen die je neemt ter beheersing van één of meerdere risico’s. Het zijn dus precies dezelfde concepten. In het Engels betekent beheersen to control, terwijl het Nederlandse controleren in het Engels to check is. Dit zorgt vaak voor verwarring. Een control/beheerrsmaatregel heeft ten doel een risico in te perken, niet om te controleren of het zich heeft voorgedaan, noch om te controleren of medewerkers zich wel aan de voorschriften houden. In de rest van dit artikel zal ik over controls spreken.
Verschillende onderverdelingen
Veel mensen maken onderscheid tussen verschillende controls. Dit kan heel nuttig zijn, omdat controls soms een andere functie hebben, of op een andere manier werken. Hiermee kun je makkelijk een complete set aan controls samenstellen die goed op elkaar inhaken.
1. Het meest gebruikte onderscheid is die tussen preventieve, detectieve en repressieve controls. De namen geven het eigenlijk al aan: preventieve controls beïnvloeden vooral de kans dát een risico zich voordoet: denk hierbij aan het verbod op roken bij een tankstation, dit voorkomt dat er brand of zelfs een ontploffing ontstaat. Detectieve controls richten zich op het ontdekken van een risico. Dit kan vooraf, tijdens of zelfs nadien zijn. Denk hierbij aan een rookmelder, die kan in een vrij vroeg stadium een brand ontdekken en melden. Ten slotte: repressieve controls beperken de impact van een risico. Dit kan de aanwezigheid van blusmateriaal zijn, goed geïnstrueerde BHV’ers, brandvertragend materiaal of een sprinkler installatie.
Deze controls hebben soms een dubbele werking. De brandmelder detecteert niet alleen een brand, maar beperkt ook de schade van een brand doordat je snel kan blussen en heeft daarmee ook een repressieve werking. Camera’s werken bijvoorbeeld ook zo: wellicht bedoelt om inbrekers te betrappen (detectief), maar doordat de pakkans hiermee vergroot wordt heeft het ook een preventieve werking. Van brandwerend materiaal (repressief) zou je ook kunnen stellen dat het een preventieve werking heeft doordat een brand zich uberhaupt niet kan ontwikkelen.
2. Harde en softe controls. Veel mensen hebben geen positieve associatie met softe controls. Terwijl ze alom aanwezig zijn en veel invloed hebben op een organisatie. Je hebt het alleen niet door. Ik leg het altijd uit aan de hand van het volgende voorbeeld: harde controls zijn maatregelen die afgedwongen worden, vaak door middel van fysieke of digitale beperkingen. Het slot op de deur en het wachtwoord van je account zijn goede voorbeelden. Er zijn (als het goed is) maar een beperkt aantal sleutels waarmee het slot open kan, eventueel zijn die sleutels ook nog per persoon toegewezen. Het slot kan, zonder sleutel, alleen nog met een breekijzer o.i.d. opengebroken worden.
Softe controls gaan vaak op basis van vertrouwen en moreel kompas. Het slot van ik net noemde heeft bijvoorbeeld maar twee sleutels in beheer bij twee verschillende medewerkers; de softe control is de afspraak en het vertrouwen dat die sleutels niet gedeeld worden met anderen. Je kunt het niet hard afdwingen, zelfs niet met contractuele afspraken of bijvoorbeeld camera toezicht.
Veel mensen denken dat alleen hard controls werken. Onderstaande foto’s tonen aan dat dat niet het geval is:
In beide gevallen zijn maatregelen genomen om bepaalde gebruikers toegang te ontzeggen. De bovenste is niet volledig uitgevoerd, en in het onderste voorbeeld doorbreekt de gebruiker de maatregel.
3. Manueel en automatisch: vooral in omgevingen waar veel digitaal wordt gewerkt, wordt onderscheid gemaakt tussen manuele controls (uitgevoerd door mensen) en geautomatiseerde controls (uitgevoerd door een programma, of een bot). Dit onderscheid is vooral belangrijk als je achteraf gaan controleren: een bot maakt alleen fouten als dat zo geprogrammeerd is, een mens kan keer op keer een fout maken (en steeds een andere!). Bijvoorbeeld bij de jaarcontroles t.b.v. de jaarcijfers steunen veel externe accountants op geautomatiseerde controls en doen een veel kleinere steekproef voor de geautomatiseerde controls dan voor de manuele controls. Die steekproef wordt pas uitgebreid als blijkt dat de geautomatiseerde control niet goed blijkt te werken.
4. It general en application controls: ook weer in het digitale domein een belangrijk onderscheid. IT general controls zijn maatregelen die voor een hele organisatie worden genomen. Een voorbeeld is dat elke gebruiker om de drie maanden het wachtwoord van hun accounts moet veranderen; deze control geldt dus voor alle applicaties. Een application control is een automatische control (zie #3) die is geprogrammeerd in één applicatie; deze is dus niet actief in de hele organisatie maar alleen binnen één applicatie. Dat geldt ook als de hele organisatie die applicatie gebruikt. Deze controls kunnen ook goed samenwerken: naast het feit dat jij elke drie maanden je wachtwoord moet veranderen, kan er per applicatie ingesteld worden dat er een minimale lengte van het wachtwoord is, en of je speciale tekens moet gebruiken of niet. Deze vereisten kunnen afhankelijk zijn van bijvoorbeeld het type data wat in de betreffende applicatie staat.
Update 21-12-21: lees hier het vervolg.
Veel mensen kijken reikhalzend uit naar het definitieve einde van alle Corona-maatregelen. Maar net zoals we een jaar geleden nog nooit een lockdownsituatie hadden meegemaakt, hebben we ook nog nooit een post-lockdownsituatie meegemaakt. Wat staat ons te wachten? Ik ga geen voorspellingen doen maar kijk vooruit naar mogelijke ontwikkelingen in onze maatschappij.
1. Jojo-effect bij attractieparken en andere amusementslocaties. Toen vorig jaar de Efteling weer open ging was de vraag groter dan het aanbod, al was dit niet het geval bij alle locaties die tegelijkertijd weer open mochten. Ik verwacht dat dit deze zomer niet anders zal zijn. Hopelijk, met de ervaring van vorig jaar, verspreiden de bezoekers zich over wat meer parken en centra. Als iedereen dan weer is geweest zakt de vraag weer af, mogelijk tot onder het “normale” niveau.
2. Meer SOA’s. Al daten veel mensen nog steeds, nieuwe ontmoetingen zijn toch schaarser. Als de horeca weer open gaat zullen er meer afgesproken dates plaats gaan vinden (meer mogelijkheden om wat te ondernemen) en meer spontane contacten ontstaan. Ook “avontuurtjes” worden weer gemakkelijker. Deze toename in aantallen en mogelijk het enthousiasme zorgen wellicht voor meer onveilige contacten, en dus meer SOA’s.
De munt kan ook de andere kant opvallen: een grote toename in de verkoop van condooms.
3 Gedumpte huisdieren. Dit risico wordt al een tijdje genoemd in de media; de asiels zijn nagenoeg leeg doordat veel mensen een huisdier hebben gekocht of hebben geadopteerd omdat ze zelf veel thuis zijn. Als straks winkels, horeca maar ook kantoor weer toegankelijk wordt, zitten deze dieren weer vaker alleen. Ook met de zomervakantie in aantocht (een klassiek dumpmoment) is het maar de vraag of (spontaan) aangeschafte dieren wel mogen blijven.
4. Faillisementen. Ook hier wordt al langer voor gevreesd maar een hausse blijft tot nu toe uit. Recent bleek wel dat D-Reizen het helaas niet heeft gered. Dit specifieke geval kan nog een domino effect hebben, NOS.nl legt het uit:
De touroperators die de reis zouden uitvoeren kunnen geen aanspraak meer maken op de aanbetalingen, maar zijn toch verplicht om de reis alsnog uit te voeren of de voucher uit te keren.
Voor klanten zelf maakt het niet uit, zij krijgen hun voucher uiteindelijk vergoed vanuit de Stichting Garantiefonds Reisgelden (SGR), maar touroperators zijn bang dat de SGR vervolgens bij hen aanklopt omdat zij verantwoordelijk zijn voor het uitvoeren van de reis en dus aansprakelijk zijn als die reis niet doorgaat.
Nos.nl
Andere bedrijven kunnen – los van elkaar – alsnog omvallen. Als de steun vanuit de overheid ophoudt maar de klandizie trekt niet voldoende aan zal het voor veel bedrijven moeilijk zijn om het hoofd boven water te houden. Trekt het wel goed aan, dan kan het verplicht terugbetalen van uitgestelde belasting alsnog roet in het eten gooien. Overigens kunnen de steunmaatregelen ook een reden zijn waarom we tot nu toe weinig faillissementen hebben gezien: bedrijven die zonder pandemie te weinig inkomsten zouden hebben gehad waren zonder steun waarschijnlijk gestopt, maar worden nu dus overeind gehouden.
5. Blijvend lage aantallen OV-reizigers én meer files. Het advies is nog steeds: reis alleen met het OV als het écht nodig is. OVPRO.nl meldt op 26 maart 2021 het volgende: in lijn met de versoepelingen van de coronamaatregelen is het sinds maart weer iets drukker in het OV. Het totaal aantal check-ins lag vorige week circa 20 procent hoger dan in de laatste week van februari, blijkt uit cijfers van Translink. De 11 miljoen transacties betekende desondanks nog altijd zo’n 60 procent minder reizigers dan in 2019.
In maart 2020 was de lockdown duidelijk aanwezig op de (snel)weg: er waren nauwelijks files. Trouw.nl meldt dat in maart 2020 de verkeersintensiteit afnam met 50%, momenteel ligt dat rond de 15%. In onderstaande grafiek wordt dit duidelijk gevisualiseerd:
Beeld Ministerie van I & W via Trouw.nl
Zou het kunnen dat mensen het OV gewoonweg mijden i.v.m. besmettingsgevaar en in plaats daarvan eerder de auto pakken? Topgear.nl meldt het volgende over de verkoopcijfers van 2020: de Bovag, RAI Vereniging en databureau RDC melden dat het totale aantal staat op 356.051 auto’s, wat 20 procent minder is dan in 2019. Dat is een behoorlijke daling maar de verkoopaantallen blijven hoog. We weten het pas zeker als de coronamaatregelen geheel zijn opgeheven, maar als je in bovenstaande grafiek kijkt naar de zomermaanden van 2020 (ongeveer week 27 t/m week 36) leek het toen al bijna terug op pre-corona niveau te zijn.
Er zijn vast nog meer effecten die ik hier niet heb staan – wat zie jij nog gebeuren?
Alle voorbereiding en beheersing ten spijt, zijn er altijd risico’s waar je helemaal niets tegen kunt doen. Deze vallen in de categorie overmacht. Veel ondernemers roepen al gauw dat iets overmacht is, dat is niet altijd het geval. In deze blog vertel ik je meer over overmacht en ik geef je vier tips wat je er wél tegen kunt doen.
Overmacht situaties
Vandale.nl heeft twee definities van het woord overmacht:
over·macht (de; v(m))
1 meerdere macht; grotere getalsterkte: (sport) met overmacht winnen met groot verschil winnen, veel sterker zijn
2 (juridisch) dwang waardoor de aansprakelijkheid voor iemands doen of laten wordt opgeheven
Niet de tekst waar ik naar op zoek was helaas. Overmacht, in de context van risico’s, gaat over situaties waarin er iets gebeurt wat geheel buiten jouw invloedsfeer ligt. Zowel de kans dat het gebeurt als de impact die het heeft kun je niet beïnvloeden. Overmacht wordt soms verward met de zogenaamde zwarte zwaan: gebeurtenissen die je niet kunt beïnvloeden maar ook niet had kunnen zien aankomen. Deze zwarte zwanen zijn erg zeldzaam.
Een paar duidelijke voorbeelden van overmacht: de covid-19 pandemie waarbij maatregelen worden getroffen die jouw organisatie hard (negatief) raken. De supermarkten hoor je niet klagen namelijk. Dit is/was geen zwarte zwaan: er wordt al jaren voor gewaarschuwd, we hebben al vier recente pandemiën gehad (SARS, Q-koorts, MERS, de Mexicaanse griep) maar (te) weinig organisaties namen het serieus (inclusief de Nederlandse overheid).
Ander voorbeeld: op 23 maart 2021 liep een containerschip vast in het Suez kanaal. Geen enkel schip kon er nog langs, en als de enige andere optie is om helemaal Afrika rond te varen (+3000 km). Tientallen, zo niet honderden schepen lagen uiteindelijk zes dagen te wachten. Zowel omvaren via de zuidkust van Afrika of wachten voor de kanaal kost miljoenen. Het schip (Japanse rederij, Panamese vlag) wacht dat ook miljoenenclaims van andere rederijen. Ook de aanvoer van olie, gas, grondstoffen en andere producten loopt hiermee vertraging op wat door kan werken in lokale economieën, productie en bijvoorbeeld de olieprijs.
Wanneer is het overmacht?
Ik heb gemerkt dat mensen (niet alleen ondernemers en directeuren) al snel tegenslagen op overmacht gooien. Waarom dit gebeurt weet ik niet precies, ik heb geen onderzoek naar gedaan. Wellicht komt het deels door het niet willen nemen van verantwoordelijkheid (als je er niks aan kunt doen/had kunnen doen, kan niemand jou iets verwijten), misschien komt het doordat niet iedereen kan zien wat er tóch mogelijk is.
Ik vind het eerlijk gezegd niet zo belangrijk dat we heel specifiek kunnen vaststellen wanneer een situatie overmacht is – behalve in geval van een verzekeringsclaim. Ik vind het belangrijker dat je weet hoe je erop kunt reageren. Of nog beter, hoe je je kunt voorbereiden.
Proactief reageren op overmacht
Een aantal tips en mogelijkheden om overmacht voor te kunnen zijn en degelijke situaties boven te komen.
1. Bekwaam jezelf in crisismanagement. In tegenstelling tot de veel kritiek die de (Nederlandse) regering te verduren krijgt, is crisis management één van de moeilijkste dingen die er zijn. Er zijn weinig mensen/organisatie die het goed doen. Je hoeft geen drie daagse training te doen en expert te worden, een training van 4 uur kan al een grote verschil maken. Een goed voorbeeld is het optreden van de veiligheidsdriehoek in Utrecht na de aanslag op 18 maart 2019. Twee slechte voorbeelden zijn BP na het olielek in de golf van Mexico en de driehoek van Moerdijk. Bij monde van de burgermeester van die laatste stad:
2. Wees conservatief met je financiën. Veel organisaties sparen te weinig, Booking.com lag in 2020 onder vuur omdat ze veel steun aanvroegen maar in de jaren ervoor veel dividend uitkeerden en eigen aandelen terug inkochten. Zorg ervoor dat niet al je winst naar winstuitkeringen e.d. gaat, maar houd een deel in reserve als buffer en/of voor toekomstige investeringen. KLM kreeg hetzelfde verduren en had een zwakke onderhandelingspositie, de piloten speelden daarbij heel gevaarlijk spel. Een goede buffer opbouwen zorgt ervoor dat jij niet of in ieder geval minder afhankelijk bent van (staats)steun én de toekomst van je organisatie niet binnen enkele maanden aan een zijden draadje hangt.
3. Spreid je kansen. Organisaties die flexibel zijn en nieuwe manieren verzinnen om geld te verdienen zijn overlevers. Bijvoorbeeld de fotograaf die beeldbanken gaat maken voor bedrijven, of de schoonheidssalon en de lingeriewinkel die via Instagram hun producten gaat verkopen. Op je handen zitten en wachten totdat je die ene specifieke activiteit weer mag uitvoeren heeft geen zin. Nog beter is het om nu al meerdere activiteiten te ontplooien: ben je consultant? Misschien kun je een training ontwikkelen om naast je declarabele uren te geven.
4. Inventariseer je risico’s, onzekerheden, zwakke plekken en aannames. Je kunt niet alle scenario’s van te voren bedenken, maar je kunt wel de zwakke plekken ontdekken in je bedrijfsvoering en je omzet. Ongeacht de aanleiding, waar ben je gevoelig voor? En welke aannames heb je gedaan waar je strategie en operatie op gebaseerd zijn? Als je dit in beeld hebt kun je ook bedenken wat je kunt doen om de impact te beperken.
De kans beperken is zoals gezegd, erg moeilijk. Je kunt wel de impact beperken, door bijvoorbeeld van te voren alternatieven te bedenken. In het geval van de Ever Given: beredeneer en bereken of het beter is om hogere voorraden aan te houden, of je producten via alternatieven zoals luchtpost te laten vervoeren. Je kunt dan een noodplan klaar hebben wat je alleen maar hoeft uit te voeren als het nodig is.
Conclusie
Overmacht situaties zijn moeilijk te beïnvloeden, maar dat wil niet zeggen dat je je niet kunt voorbereiden. Neem concrete stappen en zorg voor meer onafhankelijkheid van omstandigheden en veranderende situaties.
In mijn serie over risico beoordeling heb ik uitgelegd hoe de meeste organisaties dit aanpakken. In de vierde post in deze serie stel ik een andere methode voor die afwijkt van de goed ingeburgerde risico management methode: de kans en impact van een risico scoren op een (gekwantificeerde) schaal van 4 of 5. Niet iedereen kan hiermee uit de voeten, het absoluut inschatten van de kans of impact is lastig voor veel mensen. Binnen scrum hebben ze allang door dat dit niet optimaal is en ze zijn daarom fan van relatief schatten. Scrum.nl legt uit waarom:
Als voorbeeld, wij kunnen heel slecht inschatten hoeveel een auto weegt en hoeveel een scooter weegt in kilo’s. Of een ander voorbeeld: als wij twee torens zien, dan zien wij in een oogopslag dat de ene toren twee keer zo hoog is als de andere. Maar hoe hoog elke toren nu precies is in meters, dat kunnen wij heel slecht inschatten. In andere woorden: absoluut schatten kunnen wij slecht, maar relatief inschatten kunnen we weer wel goed.
Praktische toepassing
Ik vroeg me af, waarom zou dit niet voor risico’s kunnen werken? Hoe dat in z’n werk gaat:
1. Je inventariseert al je risico’s (zoals je normaal ook zou doen)
2. Vervolgens schat je ze niet op schaal, maar relatief ten opzichte van elkaar. Dus een risico met een hogere kans komt hoger in de lijst, of krijgt juist een hoger cijfer, net welke volgorde jij graag wilt. Je hoeft zo niet te discussiëren of het nou 3 of 4 is, je hoeft alleen te bedenken of het groter of kleiner is dan een ander risico. Als je kans en impact schat heb je hierna dus twee lijstjes.
3. Je telt de scores bij elkaar op om tot een risico score te komen (vermenigvuldigen kan ook). De risico’s met de hoogste/laagste score zijn degenen waar je de meeste aandacht aan moet besteden. Een voorbeeld (ik koos voor hoe hoger de kans/impact, hoe hoger de score):
| Risico | Kans | Impact | Score |
| Storm | 1 | 5 | 6 |
| Inbraak | 3 | 2 | 5 |
| Brand | 4 | 4 | 8 |
| Verval | 5 | 2 | 7 |
| Daling waarde | 2 | 3 | 5 |
De risico’s brand en verval hebben de hoogste eindscore en zijn daarmee de risico’s waar ik het meeste aan moet doen. Het kan zijn dat jij inbraak bijvoorbeeld hoger zou scoren op impact: daarmee verandert dan ook je eindscore. Het blijft een persoonlijke inschatting: ik raad daarom altijd aan dit met meerdere mensen te doen, vooral in organisaties met meerdere personen. Hiermee creëer je een gedragen score die de gemiddelde inschatting goed weergeeft.
Heb je voldoende maatregelen genomen tegen brand (zoals brandwerende materialen en rookmelders) en verval (bijvoorbeeld een onderhoudscontract met een aannemer)? Beoordeel de risico’s dan nog een keer, waarbij je de kans en impact scoort mét inachtneming van de genomen maatregelen. Bungelen ze onderaan je lijstje? Dan is de inschatting dat ze goed werken. Logischerwijs komen 2 of 3 andere risico’s ineens hoog te staan: die score is niet ineens anders, maar relatief gezien wel gestegen t.o.v. de beheerste risico’s. Schrik hier dus niet van.
Een laatste tip voor deze toepassing: zorg ervoor dat je top van risico’s niet te groot wordt: heb je bijvoorbeeld 14 risico’s geïdentificeerd, pak er dan 3, maximaal 5 tegelijk aan. Hiermee kun je focus aanbrengen en en die kleine top écht goed beheersen, i.p.v. een top 10 die je maar half afdekt. Dat is zonde van je tijd en geld.
Meer mogelijkheden
Deze methode kan ook op een andere manier worden toegepast. In de hypothecaire markt (zowel voor eigen woningen als bedrijfspanden) wordt er veel maatwerk verricht. Vaak wordt een leningaanvragen opgesteld door een adviseur (intern of extern) en vervolgens beoordeeld door een interne kredietanalist (soms risk analist genoemd). Mijn ervaring is dat de aanpak van beoordeling enorm kan verschillen tussen analisten onderling.
Vaak is er geen standaard methode juist omdat het maatwerk betreft waarop geen standaard procedure toegepast kan worden. Waar de ene analist alleen maar kijkt naar voldoende zekerheden (zoals onderpanden, of borgstellingen, ongeacht de verdere inhoud van de aanvraag) kijkt de ander naar alle aspecten en geeft pas akkoord als alle aspecten op z’n minste afdoende zijn. Het voordeel hiervan is dat elke aanvraag een maatwerk analyse krijgt, het nadeel is dat de uitkomst zeer afhankelijk is van welke analist de beoordeling doet.
Relatief schatten kan een tussenweg bieden tussen volledige vrijheid en een standaard procedure. Dit kan in een aantal stappen:
1. Stel van te voren een aantal aspecten vast die in elke aanvraag voorbij komen en waar een risico aan kleeft. Voorbeeld: inkomen van de aanvrager (type, bestendigheid, hoogte tov lasten/LTI etc), locatie onderpand, type onderpand, toepassingsmogelijkheden onderpand, onderhoudsstaat onderpand, overige zekerheden (zoals een borgstelling of verpanding van huurinkomsten), hoogte gevraagde lening tov geschatte waarde onderpand (LTV in vakjargon), looptijd rentevaste periode etc.
2. Stel een standaard formulier op waarop elke beoordeling ingevuld moet worden waarin ruimte is voor een maatwerk beoordeling.
3. Laat elke beoordeling starten met een relatieve risico-inschatting van alle aspecten m.b.t. de specifieke leningaanvraag. Hierin worden de aspecten opgesomd bij #1 relatief t.o.v. elkaar geschat waarbij de hoogste risico bovenaan komt. En stel dan als regel dat bijvoorbeeld bij een lijst van 15 aspecten, de bovenste 5 uitgebreid beoordeel moeten worden, aangezien die het grootste risico vormen bij deze specifieke aanvraag.
Het voordeel van deze methode is dat er een standaard methode is waarop elke analist beoordelingen uitvoert, tegelijkertijd blijft er veel bewegingsruimte over om een maatwerk analyse af te leveren die toegespitst is op de individuele aanvraag.
Tot slot
Ik ben benieuwd hoe jij erover denkt. Zie jij mogelijkheden voor relatief schatten in jouw werk? Laat het weten!
In mijn vorige twee posts heb je kunnen lezen hoe risicoscoring bij de meeste organisaties in zijn werk gaat. Er wordt vrijwel exclusief gescoord op kans en impact. Ik heb nog nooit een derde factor gezien, maar ik denk dat die er wel kan zijn. Om dit goed te begrijpen leg ik eerst kort uit welke drie soorten beheersmaatregelen (“controls” in het Engels) er zijn.
- Preventieve controls: beheersmaatregelen die voorkomen dat een risico zich uberhaupt voordoet. Zoals het verbieden van open vuur, of het gebruik van brandveilige stroomkabels e.d.
- Detectieve controls: beheersmaatregelen die een risico kunnen opsporen. Dit kan vooraf, tijdens of na het voorvallen van het risico. Denk bijvoorbeeld aan een brandmelder.
- Repressieve controls: beheersmaatregelen die de impact van een risico kunnen beperken. Denk hierbij aan een brandblusser of sprinklerinstallatie.
Er kan ook overlap zijn tussen de controls. Een detectieve control heeft vaak ook een preventieve werking: hoe groter de kans op om diefstal betrapt te worden, hoe minder snel iemand het zal proberen. Ook kan het een repressieve werking hebben: hoe eerder je een brand ontdekt, hoe sneller deze geblust kan worden en de schade beperkt blijft. Ze kunnen ook heel goed samenwerken: waterschade door blussen kan beperkt worden door het tijdig ontdekken van brand. De brand blijft dan klein, er is minder water nodig om te blussen en dus blijft de waterschade ook beperkt.
Preventieve controls beïnvloeden vooral de kans van een risico, repressieve controls beïnvloeden vooral de impact van een risico. De detecteerbaarheid van een risico kan dus ook verhoogd worden door goede controls in te voeren, maar dit scoren we niet wanneer we een risico analyseren. Terwijl het wel handig kan zijn om deze factor mee te nemen: een risico die lastig op te sporen is kan uiteindelijk meer impact hebben dan een risico dat je binnen een mum van tijd opgemerkt hebt. Hoe eerder je erbij bent, hoe minder schade. Denk maar terug aan de brandmelder.
Een ander praktijk voorbeeld, dit keer uit de hypotheekmarkt. Voorafgaand aan het verstrekken van een hypothecaire lening wordt er vooraf goed gekeken naar een aantal aspecten: het inkomen van de aanvrager(s) is hierbij een grote factor, vooral als het gaat om de betaalbaarheid van de lening en hoe groot de kans is dat deze netjes, geheel en tijdig wordt terugbetaald. Vragen die dan gesteld worden zijn bijvoorbeeld: is het inkomen voldoende om de lasten te dragen? Is het inkomen (toekomst)bestendig? Dit zijn vooral preventieve controls: men probeert te voorkomen dat een lening verstrekt wordt die achteraf niet geheel terugbetaald wordt. Een hypothecaire lening heeft één grote repressieve control: het onderpand waarop hypothecaire zekerheid wordt gegeven.
Ook al zijn deze checks vooraf positief, toch kan iemand achteraf (dus tijdens de looptijd van de lening) problemen krijgen met de betaalbaarheid van de lening. Door bijvoorbeeld een verlies van inkomen, of zelfs overlijden van (één van) de aanvrager(s). De achterstanden kunnen in zo’n geval snel oplopen weet ik uit werkervaring. Een aantal geldverstrekkers zijn dan ook druk bezig om te kijken hoe ze betaalproblemen vroegtijdig kunnen opsporen. Oftewel, ze werken aan de detecteerbaarheid van het betaalbaarheidsrisico.
Ik durf het wel aan om de discussie te starten: waarom gaan we de detecteerbaarheid niet scoren? Een heatmap met 3 assen wordt misschien wat lastig (3D?), maar je kunt prima drie lijstjes maken en de verschillende scores bijvoorbeeld optellen om tot een rangschikking te komen. Wat vind jij? Laat het weten in de comments!
Beeldwerk via Unsplash.
In mijn vorige post kun je de uitleg over risico beoordeling lezen. Vandaag: vier aandachtspunten die in mijn ervaring te snel overgeslagen worden. Daarover in deze post meer.
1. Kans: zoals benoemd wordt er gescoord op een schaal. Die schaal kan lopen van bijvoorbeeld 1x per dag naar 1x per jaar. Dit is vooral gebruikelijk bij operationele risico’s van activiteiten die regelmatig voorkomen. Bij activiteiten die minder vaak voorkomen, zoals het opstellen van jaarcijfers (gebeurt 1x per kalenderjaar), kan een andere schaal nodig zijn. Bijvoorbeeld elk jaar, elke drie jaar, elke 7 jaar, elke tien jaar en elke twintig jaar.
Als je namelijk de 1x per dag naar 1x per jaar schaal gebruikt (voor een activiteit die überhaupt maar 1x per jaar voorkomt), kun je alleen maar de laagste frequentie selecteren. Maar voor deze activiteit zou dat betekenen dat het élke keer fout gaat. Ik vind dit onhandig. Werken met verschillende schalen voor verschillende activiteitfrequenties vind ik net zo onhandig, dus ik gebruik al jaren een andere oplossing: percentages.
In onderstaande tabel zie je een viertal voorbeelden van schalen, zowel een 4-puntsschaal als een 5-puntsschaal. De percentages geven aan in hoeveel van de gevallen van de betreffende activiteit (of het proces) het risico zich voor kan doen. Op deze manier maakt het niet uit hoe vaak de activiteit zelf voor komt, je kunt de percentages gewoon toepassen. Dus ontwerp je eigen schaal en ga aan de slag!
| Score | 1 | 2 | 3 | 4 | 5 |
| Kans | 0-5% | 5-20% | 20-45% | 45-75% | 75-100% |
| Kans | 0-20% | 20-40% | 40-60% | 60-80% | 80-100% |
| Kans | 0-15% | 15-45% | 45-85% | 85-100% | |
| Kans | 0-25% | 25-50% | 50-75% | 75-100% |
2. Impact: ik heb gemerkt dat men vaak de kans factor meeneemt in het bepalen van de impact. In plaats van puur de impact te beoordelen wordt deze al gebagatelliseerd (of opgeblazen) aan de hand van de beoordeelde kans. Dat gaat dan ongeveer zo:
Hmm, aangezien dit niet zo vaak voor gaat komen, zal de impact ook wel meevallen.
Ik stel daarom altijd de vraag als volgt: aangenomen dat het risico zich voordoet, wat kan de mogelijk impact zijn? Juist door dit onderscheid te maken, stel je mensen (en jezelf) in staat om de beide factoren van elkaar te scheiden en daadwerkelijk los van elkaar te scoren.
Daarnaast: de impact is niet alleen financieel. Sterker nog, de financiële impact is vaak een gevolg van andere impact. Zoals bijvoorbeeld een boete als gevolg van een datalek: heb je je veiligheid niet op orde (risico), dan is de mogelijke impact een datalek (impact) met als gevolg een boete. In onderstaande tabel zie je een voorbeeld van verschillende impactcategoriën verdeeld over 4 schalen.
| Impact score | 1 | 2 | 3 | 4 |
| Financiën | <€1000 | €1000-€10.000 | €10.000-€100.000 | >€100.000 |
| Toezicht-houder | Inspectie ter plaatse | Aanwijzing | Boete | Intrekken vergunning |
| Reputatie | 3 regels in het lokale suffertje | Interview met lokale radio | Trending op social media | Hoofdnieuws in journaal/ voorpagina kranten |
| Klant verlies | 0-5% klantverlies | 5-10% klantverlies | 10-25% klantverlies | >25% klantverlies |
Kies vooral zelf welke categoriën voor jouw organisatie relevant zijn en welke verdeling over de schalen voor jouw van toepassing is. Vooral de financiële impact kan zeer verschillen tussen grote en kleine organisaties.
3. De schaalindeling: vaak weet men niet welke schaalindeling handig is. Het snelle antwoord: 4 of 5.
Waarom niet meer dan 5: bij 6- of 7-puntsschaal ben je voornamelijk aan het discussiëren over de score nou bijvoorbeeld 5 of 6 moet zijn. Dit komt doordat het onderlinge verschil tussen 5 en 6 dan vrij klein is; hoe groter de schaal, des te meer de scoring wordt ‘uitgesmeerd’ waarmee er dunne marges overblijven.
Waarom niet minder dan 4: bij een schaal van 3 is het tegenovergestelde waar: er valt weinig te kiezen. Vooral in Nederland zal men dan opvallend vaak voor middenmoot gaan, wij houden niet van de extreme scores. Dit ziet men ook terug in enquêtes en dergelijke.
Hoe dan te kiezen tussen 4 en 5? Dat is vaak een kwestie van (persoonlijke) voorkeur. Het voordeel van een 4-puntsschaal is dat je daadwerkelijk moet kiezen tussen hoog en laag. Er is geen medium score, zoals 3 bij een vijfpuntsschaal, wat vaak als een veilige keuze voelt. Het voordeel van een 5-puntsschaal is juist de optie om iets van detail aan te kunnen brengen en wel die middenweg te kunnen kiezen. Als jij (en je gesprekspartner) duidelijke keuzes kunnen maken en goed kunnen motiveren waarom je voor het midden kiest, dan is een vijfpuntsschaal een goed optie. Wil je voorkomen dat mensen veilig in het midden gaan zitten, kies dan de vierpuntsschaal.
4. Verlies jezelf niet in het proces: ik zie dat veel organisaties zo bezig zijn met het invullen van de stappen en het creëren van mooie overzichten zoals de heatmap, dat ze het einddoel vergeten. De risico score is een inschatting gebaseerd op ervaring en professioneel inzicht; denk er niet te veel over na. Het creëren van een heatmap is uberhaupt niet verplicht, er zijn genoeg alternatieven voor. Een lijst met de risico’s van hoog naar laag werkt bijvoorbeeld net zo goed. Maar houdt je einddoel in zicht: het beheersen van de relevante risico’s. Het bepalen van de risicoscore is dus een hulpmiddel om te beslissen waar je energie en tijd naartoe moet.
Beeldwerk via Unsplash.
Vorige week vertelde ik over strategisch risico management. Vanaf deze week leg ik in vier posts uit hoe je je geïdentificeerde risico’s kunt beoordelen, zodat je weet waarmee je aan de slag moet. Vandaag leg ik uit hoe risico classificatie in de meeste organisaties wordt uitgevoerd.
Risico scoring
De meeste organisaties starten met het inventariseren van hun risico’s (welke risico’s zijn er überhaupt) en gaan daarna over op de beoordeling (scoring) van deze risico’s. Doel hiervan is er achter komen welke risico’s het meest belangrijk zijn voor de organisatie en waarop actie genomen moet worden. Deze beoordeling gebeurt eigenlijk altijd aan de hand van twee factoren:
Kans: hoe groot is de kans dat dit risico zich voordoet? Vaak wordt deze kans ingeschat binnen een bepaalde periode, bijvoorbeeld een kalenderjaar. De schaal kan dan lopen van 1x per dag, 1x per week, 1x per maand, 1x per kwartaal naar 1x per jaar.
Impact: wat is de mogelijke impact van het risico op mijn organisatie? Ook hier wordt op een schaal beoordeeld, vaak de financiële impact, zoals beginnend bij minder dan €100 oplopend naar miljoenen euro’s.
De kans en impact scores per risico worden vervolgens vermeldigvuldigd om tot een risicoscore te komen. Bijvoorbeeld kans = 4 en impact =2. Risicoscore is dan 4 x 2 = 8. Sommige organisaties gebruiken een schaal met 4 stappen, anderen een schaal met 5 stappen. Voor elk risico wordt zo een score bepaald die op twee assen worden geplaatst waarmee een zogenaamde ‘heatmap’ gemaakt wordt (zie hieronder). Hoe lager de score, hoe minder belangrijk het risico is. De ‘hitte’ wordt door middel van de kleuren aangegeven en geeft visueel weer hoe ernstig het risico is (of kan zijn). Elke organisatie beslist zelf welke scores welke kleur krijgen.
Een heatmap geeft de verspreiding van risico’s weer; hoe meer risico’s zich rechts bovenin bevinden, hoe groter de dreiging. Vice versa voor veel risico’s in de linker onder hoek. Vaak beoordelen organisaties hun risico’s twee keer: de “bruto” score geeft de risico situatie zonder aanwezige beheersmaatregelen aan, de “netto” score geeft de risico situatie mét aanwezige beheersmaatregelen aan. Deze netto score wordt ook wel het restrisico genoemd: welk risico rest mij nog nádat ik maatregelen heb genomen? De netto heatmap kan er dan zo uitzien:
Het verschil tussen de bruto en de netto score van een risico geeft de effectiviteit van de beheersmaatregel weer; de beheermaatregelen is immers ingezet om de kans en/of de impact te verkleinen. Dit wordt ook wel mitigeren genoemd. De bruto score is handig om te kijken welke risico’s de meeste aandacht behoeven. De netto score is handig om te zien of al je risico’s voldoende beheerst zijn.
In mijn volgende post leg ik de aandachtspunten en valkuilen uit.
For English click here.
Sommige risico’s zijn reëel en springlevend, maar niemand merkt ze op. Ze verbergen zich, vermommen zichzelf en of staan pal voor je neus en toch kijk je erlangs. Toch kunnen ze een serieuze impact hebben op je organisatie als je je er niet van bewust bent. Ik wil enkele van die risico’s delen die ik in de loop der jaren ben tegengekomen.
1. De ongemotiveerde / niet-functionerende collega
We hebben allemaal zo’n collega (gehad): ze werken al minimaal een paar jaar bij de organisatie, vaak langer (10+ jaar); ze zijn al een tijdje niet meer van functie veranderd en het enige wat ze doen is: klagen. Ze doen ook min of meer hun werk, maar ze klagen vooral hoe saai hun werk is, hoe slecht de werkgever de organisatie is, hoe graag ze weg willen etc. Ik heb het niet over een persoon die af en toe een slechte dag heeft. Dat hebben we allemaal. Ik heb het over mensen die vastzitten in een plaats en tijd en geen idee hebben hoe ze eruit moeten komen. De stroom van klaagzangen en kritiek lijkt eindeloos.
In mijn ervaring begint dit gedrag na verloop van tijd zijn tol te eisen van de omringende collega’s. Als je de hele dag naar iemand moet luisteren die klaagt over een omgeving waar jij je ook in bevindt, heeft dat ook impact op de sfeer, de motivatie van andere collega’s, de cultuur en de consensus van de groep. Het ondermijnt de werkkwaliteit en de energie van collega’s en daarnaast, werk wordt gewoon niet gedaan (dit is allemaal uit eigen ervaring, reageer gerust als je andere / aanvullende ervaringen hebt).
Nogmaals in mijn ervaring, werden deze energiezuigers bijna nooit aangepakt (ook wel droeftoeters of zuigtabletjes genoemd). Misschien zijn ze te duur om te vervangen of heb je een manager die ervoor terugdeinst om feedback te geven aan deze collega. Dus als risicomanager staan cultuur en de mensen die daar het meest invloedrijk / vocaal over zijn op mijn radar. Het is niet gemakkelijk te beïnvloeden, maar ik geloof wel dat dit een risico is dat we vaak niet opmerken.
2. Pesten
Ja, pesten onder volwassenen is echt een ding. Enkele Nederlandse cijfers over pesten uit 2017: In 2017 waren meer dan een half miljoen medewerkers slachtoffer van pesterijen, waarvan 80.000 structureel (bron: TNO). Een kwart van de medewerkers is ooit gepest door collega’s of managers. Het gaat hier niet om plagen, maar om bijvoorbeeld schelden, intimidatie, uitsluiting en het achterhouden van belangrijke informatie. Pesten op de werkvloer leidt tot ongeveer vier miljoen extra dagen afwezigheid per jaar. Dit resulteert voor werkgevers in een kostenpost van € 900 miljoen aan loondoorbetaling. (https://www.pestenopdewerkvloer.nl)
Pesten komt veel voor in organisaties waar werknemers en managers het gevoel hebben dat ze de steun of in ieder geval de impliciete zegen van senior managers hebben om hun beledigende en pestgedrag voort te zetten (bron).
Bovendien zullen nieuwe managers deze vorm van gedrag snel als acceptabel en normaal gaan beschouwen als ze zien dat anderen ermee wegkomen en er zelfs voor worden beloond (bron). In een rapport uit Australië geeft 80% van de verpleegkundigen aan gepest te zijn op de werkvloer (bron). 80%! Dat zijn 4 op de 5 verpleegsters!
De meest voorkomende effecten van pesten op het werk bij werknemers zijn stress, ziekteverzuim, PTSS en zelfdoding. Ja, je leest het goed, mensen plegen zelfmoord vanwege pesten op het werk. De kosten voor pesten op het werk worden geschat tussen € 900 miljoen en € 2,2 miljard schade voor werkgevers in Nederland (bron en bron). De impact van pesten op het werk kan zeer ernstig zijn.
Staat pesten op je radar? Wat weet je over de cultuur in uw organisatie? Hoe vaak bezoekt je andere vertigingen en dochterondernemingen? Biedt jouw organisatie een vertrouwenspersoon aan wie medewerkers hun zorgen kunnen toevertrouwen en hulp kunnen krijgen? Zijn je collega’s het erover eens dat pesten kan bestaan ​​en een probleem kan zijn, of ontkennen ze het (potentiële) bestaan ​​ervan en / of bagatelliseren ze de impact ervan? Voor meer informatie: https://en.wikipedia.org/wiki/Workplace_bullying.
3. Programmering door de eindgebruiker
Deze kwam bij mij op via Google translate. Ik heb gemerkt dat veel mensen Google translate gebruiken om tekst te vertalen. Meestal vanuit hun moedertaal naar het Engels. Ik doe dit ook wel eens en ik controleer altijd de output. Als ik het niet controleer, heeft Google misschien rare woorden of rare zinnen geproduceerd. Wat gênant zou zijn als deze tekst bijvoorbeeld zou worden gebruikt in de communicatie met klanten. En nee, ik maak geen grapje. Dit gebeurt vaker dan je denkt.
Een ander goed voorbeeld is Excel. We hebben allemaal Excel wel eens gebruikt om iets te programmeren of bij te houden. Vaak wordt dit gemaakt door een medewerker (die niet per se over de juiste vaardigheden beschikt), wordt het niet grondig getest en wanneer die medewerker vertrekt, weet niemand anders hoe het bestand werkt en hoe fouten of aanpassingen kunnen worden hersteld. Ik heb hele afdelingen of go / no go-beslissingen zien maken die afhankelijk waren van één document. Weet jij hoeveel van deze afhankelijkheden er in uw organisatie bestaan?
4. De vloek van de ja-knikkers
Deze mensen, ook wel ja-vrouwen / mannen genoemd, zeggen gewoon wat je wilt horen. Bang om iets te zeggen, hun mening te geven of gewoon de waarheid te vertellen, construeren ze een realiteit rond wat ze denken dat de andere persoon wil horen. Soms gebeurt dit vanwege groepsdenken, soms omdat ze conflicten willen vermijden, uit angst voor negatieve gevolgen of als onderdeel van cultuur. Dit kan een organisatiespecifieke cultuur of een nationale cultuur zijn.
Zelf als Nederlander heb ik gemerkt dat het werken met Belgen uit het Vlaams / Nederlands sprekende deel van Belg gemakkelijk is (vanwege de taal) en moeilijk, omdat ze niet gewend zijn het oneens te zijn met hun leidinggevende. Hiërarchie is erg belangrijk in België, in Nederland hebben we een relaxte benadering t.o.v. verschillende niveaus. Open en direct zijn wordt gewaardeerd, al verschilt dit per persoon en organisatie.
Om je een idee te geven van hoe schadelijk conformatie voor een persoon of een groep kan zijn: groepsdenken werd genoemd als een van de oorzaken van de ramp met de Space Shuttle Challenger. Wil je weten of dit in jouw organisatie voorkomt, kijk dan eens naar het geven en ontvangen van feedback: wordt dit aangemoedigd? Wisselen mensen zelf feedback uit? Stellen ze het op prijs, of wordt het gezien als een management-rage die het gevoel geeft van “laten we het maar doen dan zijn ze boven weer blij”? Het kan een aanwijzing zijn voor dit gedrag (zowel de goede als de niet-zo-goede versie).
5. Vooroordelen
The Cambridge Dictionary definieert vooroordelen als een oneerlijke en onredelijke mening over gevoelens, vooral wanneer deze wordt gevormd zonder voldoende gedachten of kennis. De meest flagrante vorm is rassendiscriminatie, maar het kan iedereen overkomen en gebaseerd zijn op elk aspect van een persoon (of een groep).
Ik heb gemerkt dat dit vaker voorkomt dan je zou denken, omdat het heel subtiel gebeurt, misschien zelfs onbewust. De getroffen mensen worden promoties, salarisverhogingen, kansen, een plaats aan tafel of hun stem ontnomen. Welke kansen worden door deze praktijken gemist, en welke niet-functionerende mensen worden op hun plaats gehouden? Ik heb het zelf nog nooit meegemaakt (misschien was het niet duidelijk genoeg om het meteen op te merken) maar dat wil niet zeggen dat het er niet is.
6. Gebrek aan training op het gebied van risicomanagement voor en rapportage door het eerstelijns management
Dit risico is niet door mijzelf geïdentificeerd, maar door Tim Leech. Hij zegt:
20 years ago the Institute of Internal Auditors revised global professional practice standards. The new standard said IA “should” report on RM effectiveness. Few did. About 10 years the standard changed. “Should” became “must”. Few did. Regulators globally, particularly in the financial sector, said CROs should be reporting regularly to boards on “effectiveness of the company’s risk appetite framework”. Not sure what CROs have been telling their boards.
Hij noemt eerst het gebrek aan rapportage over de effectiviteit van risicomanagement, met name het risicobereidheidskader. In mijn ervaring is risicobereidheid meer een vakje dat moet worden gecontroleerd dan een hulpmiddel dat moet worden gebruikt. Het rapporteren ervan staat zeker niet op het menu. Vervolgens legt hij uit waarom dit gebeurt.
Why boards haven’t been getting clear, easy to understand reports on RM effectiveness from CROs/CAEs is simple. RM/IA have primary responsibility for assessing/reporting on risk status in most companies, not Management. Management, the 1st Line, isn’t expected to take training or report formally on certainty/risk of achieving top objectives they own to the Board – even for objectives key to success.
Boards globally need to ask themselves “Are we OK living with the risk Management/1st Line isn’t aware of the real risk status linked to objectives key to success or, worse yet, are aware and aren’t telling us?
Risicomanagement wordt vaak gezien als de verantwoordelijkheid van de risicomanagers. Dit is tenslotte enigszins logisch, what’s in a name? Risico’s kunnen (on)gelukkig het beste bij de bron worden beheerst – de lijn. Ik heb risicobeheerafdelingen groter en groter zien worden, maar het gebrek aan controle dat zo gewenst was en duidelijke, beknopte rapportage die zo hard nodig was, bleef in gebreke.
Ik zie geen noodzaak voor grote risicomanagementafdelingen . Ik zie wel de noodzaak van goed risicomanagement door alle verantwoordelijken – het hoeft helemaal geen risicomanagement te heten. En ja, daar hoort ook een goede training bij. Dus bedankt, Tim.
Wat zijn jouw obscure / nieuwe / incognitorisico’s?
Beeldwerk via Unsplash. Dit artikel is op 28 januari 2021 gepubliceerd op Linkedin.
Pines & Needles 
