Hoofdstuk 1: Van risico-inventarisatie naar cultuurverandering
Risicomanagementcyclus
Bij het inventariseren evalueren en beheersen van risico’s is het mogelijk om drie aspecten of
invalshoeken te onderscheiden namelijk:
Techniek: in een technische benadering is een bedrijf een plaats waar werknemers gebruikmaken
van apparatuur, hulpmiddelen en stoffen die bepaalde eigenschappen hebben. Deze eigenschappen
bepalen het risico.
Organisatie: Een invalshoek waarin bepaalde zaken op een bepaalde manier geregeld zijn, waar
werknemers en leidinggevenden met elkaar omgaan en met elkaar communiceren en waar bepaalde
afspraken gelden.
Gedrag: Als het gedrag centraal staat gaat het om een plaats waar mensen werken en bepaald
gedrag vertonen. Het is dit menselijk gedrag dat de risico’s bepaald.
Het voortdurend en achtereenvolgens doorlopen van het risicomanagementproces kan de
natuurlijke opmaat vormen tot een managementsysteem. In veel organisaties ontstaat de behoefte
om de zaken rond e risico-inventarisatie en evaluatie vast te leggen. Het cyclisch karakter van het
risicomanagementproces komt hier goed uit de verf. Het continu doorlopen van dit
risicomanagementproces ondersteund het proces van cultuurverandering. De cultuur binnen een
organisatie speelt een belangrijke rol bij het inventariseren en evalueren van risico’s omdat dit altijd
gebeurt in de context van de organisatiecultuur.
De route van risico-inventarisatie naar organisatiecultuur is een logisch en natuurlijk ontwikkelproces
en kent drie stadia namelijk: de risico-inventarisatie en evaluatie, het managementsysteem en
cultuurverandering.
Risico-inventarisatie en evaluatie: Het in kaart brengen van risico’s en deze beoordelen. (Gericht op
de processen)
Managementsysteem: Processen om risico’s in kaart te brengen en te beoordelen worden
beschreven, beter georganiseerd en vastgelegd. (Gericht op processen en de structuur van de
organisatie)
1
,Cultuurverandering: De organisatie leert doormiddel van bovenstaande maatregelen voortdurend en
is zo in staat om haar leerproces te structureren. Het omgaan met risico’s ontwikkeld zich uit de
fundamentele waarden en keuzes. (Gericht op processen, structuur van de organisatie en cultuur.)
Verandercyclus:
Analyseren en afstemmen: Wat is de situatie van de
organisatie en de relatie met de omgeving?
Ambitie bepalen: Welke doelen wil de organisatie bereiken?
Aanpak vaststellen: Welke aanpak past bij de doelen van de
organisatie?
Acties uitvoeren: De implementatie van de aanpak vindt
plaats.
Authenticiteit verifiëren: Er wordt duidelijk gemaakt of de
ambities van de organisatie in de praktijk uitvoerbaar zijn.
Afspraken maken: Het plannen van verdere veranderingen.
Hoofdstuk 2: Risico begrijpen
Risico heeft te maken met het mogelijk optreden van schade. Het gaat bij risico om een ongewenst
effect dat zich voor zou kunnen doen en de kans daarop. Risico heeft een technische en een
menselijke benadering.
Technische benadering: objectieve aspecten staan centraal. In deze benadering is risico meetbaar en
heeft het begrip kans betrekking op een zo goed mogelijk geschatte relatieve frequentie en effect op
een objectief beschreven effect.
Menselijke benadering: risico is persoonlijk meetbaar en slaat kans voor de intuïtief beleefde
waarschijnlijkheid en effect voor de beoordeelde ernst van het effect.
Een risico kent drie elementen:
Scenario: wat kan er gebeuren en tot welk gevolg leidt dat?
Effect: hoe ernstig is het gevolg?
Kans: hoe groot is de kans dat dit gebeurt?
De effecten van risico’s zijn onder te verdelen in 3 gebieden.
Individuelle risico’s: Risico’s die individuele werknemers lopen. Het gaat dus om scenario’s met als
effect gezondheidsschade bij een specifieke werknemer.
Collectieve risico’s: Risico’s die collectieve groepen mensen lopen. Het gaat dus om de scenario’s dat
meerdere werknemers bijvoorbeeld ziek worden of verzuimen.
Bedrijfsrisico’s: Risico’s die het bedrijf loopt. Het gaat dus om scenario’s die de hele organisatie als
geheel treffen. Deze kunnen afgeleide zijn uit de bovenstaande gebieden, maar ook scenario’s
waarvan de oorsprong buiten de onderneming ligt zoals het ontstaan van een ramp of extreem grote
schade.
2
, Zuivere risico’s: gebeurtenissen die wanneer zij optreden altijd tot verliezen zullen leiden
Speculatieve risico’s: gebeurtenissen die gericht zijn op het behalen van winst maar waar ook de
kans op een verlies bestaat. Bijvoorbeeld aandelen of bedrijfspanden die in waarde kunnen stijgen
maar ook dalen.
Risicokenmerken vallen uiteen in twee categorieën.
Ten eerste kenmerken die gebaseerd zijn op kans en effect het gaat hierbij om maten waarin de
ernst van het effect of de schade, en de waarschijnlijkheid van het optreden daarvan is verwerkt.
Als tweede kenmerken die gebaseerd zijn op beleving en perceptie van het risico. Het gaat hierbij om
hoe de gevoelsmatige beoordeling van het risico door betrokkenen is verwerkt.
Binnen risicomanagement bestaan vier benaderingen om de risico’s van een organisatie te
beheersen.
1. Risicovermijding: het stoppen van risicodragende activiteiten.
2. Risicoreductie: het minimaliseren van risico’ door een combinatie van hard en soft controls.
3. Risicoverplaatsing: verplaatsen van risico’s naar een andere organisatie, bijvoorbeeld door
verzekeren.
4. Risicoretentie: Zelf dragen van risico’s en de eventuele verliezen accepteren.
Risicobeheersing is nooit af en de vier benaderingen zijn op te vatten als stappen in een proces van
voortdurende verbetering. Zo kunnen zelf gedragen risico’s later alsnog in aanmerking komen voor
een van de eerste categorieën
Om de weg van risico-inventarisatie en evaluatie naar normstelling en beheersing af te leggen zijn
verschillende manieren. Er zijn twee benaderingen, een deterministische en een probabilistische.
- In de deterministische benadering staan gevaren centraal. Dit houdt in een of meerdere
scenario’s met bijbehorende effecten. De risicobeheersing is gericht op het voorkomen van
het optreden van de effecten. Het vaststellen van normen die veilig en onveilig bepalen is
hierbij een praktische uitwerking.
- In de probabilistische benadering staan risico’ centraal, er wordt niet alleen gekeken naar
effecten maar ook naar kans op het voorkomen. In deze benadering geldt dat elk effect kan
optreden, maar de kans daarop klein kan zijn of worden gemaakt. Hier gelden normen niet
als grens tussen veilig en onveilig, maar geeft het aan of het risico acceptabel is.
De verschillende vormen van onzekerheid bij risico’s kan worden onderverdeeld in vier categorieën.
- Bij eenvoudige risico’s bestaat er overeenstemming over causale relaties en
ervaringsgegevens. Er zijn dus betrouwbare gegevens over kans een effect. Risico’ kunnen
makkelijk beoordeeld worden en discussies gaan vooral over de manier van beheersing.
- Bij complexe risico’s is er onvoldoende kennis beschikbaar over de oorzaak-gevolgrelatie. De
onzekerheid betreft niet alleen de kans maar ook de geloofwaardigheid van een scenario.
Het is van belang voortdurend meer informatie te verzamelen over deze risico’s
3
Risicomanagementcyclus
Bij het inventariseren evalueren en beheersen van risico’s is het mogelijk om drie aspecten of
invalshoeken te onderscheiden namelijk:
Techniek: in een technische benadering is een bedrijf een plaats waar werknemers gebruikmaken
van apparatuur, hulpmiddelen en stoffen die bepaalde eigenschappen hebben. Deze eigenschappen
bepalen het risico.
Organisatie: Een invalshoek waarin bepaalde zaken op een bepaalde manier geregeld zijn, waar
werknemers en leidinggevenden met elkaar omgaan en met elkaar communiceren en waar bepaalde
afspraken gelden.
Gedrag: Als het gedrag centraal staat gaat het om een plaats waar mensen werken en bepaald
gedrag vertonen. Het is dit menselijk gedrag dat de risico’s bepaald.
Het voortdurend en achtereenvolgens doorlopen van het risicomanagementproces kan de
natuurlijke opmaat vormen tot een managementsysteem. In veel organisaties ontstaat de behoefte
om de zaken rond e risico-inventarisatie en evaluatie vast te leggen. Het cyclisch karakter van het
risicomanagementproces komt hier goed uit de verf. Het continu doorlopen van dit
risicomanagementproces ondersteund het proces van cultuurverandering. De cultuur binnen een
organisatie speelt een belangrijke rol bij het inventariseren en evalueren van risico’s omdat dit altijd
gebeurt in de context van de organisatiecultuur.
De route van risico-inventarisatie naar organisatiecultuur is een logisch en natuurlijk ontwikkelproces
en kent drie stadia namelijk: de risico-inventarisatie en evaluatie, het managementsysteem en
cultuurverandering.
Risico-inventarisatie en evaluatie: Het in kaart brengen van risico’s en deze beoordelen. (Gericht op
de processen)
Managementsysteem: Processen om risico’s in kaart te brengen en te beoordelen worden
beschreven, beter georganiseerd en vastgelegd. (Gericht op processen en de structuur van de
organisatie)
1
,Cultuurverandering: De organisatie leert doormiddel van bovenstaande maatregelen voortdurend en
is zo in staat om haar leerproces te structureren. Het omgaan met risico’s ontwikkeld zich uit de
fundamentele waarden en keuzes. (Gericht op processen, structuur van de organisatie en cultuur.)
Verandercyclus:
Analyseren en afstemmen: Wat is de situatie van de
organisatie en de relatie met de omgeving?
Ambitie bepalen: Welke doelen wil de organisatie bereiken?
Aanpak vaststellen: Welke aanpak past bij de doelen van de
organisatie?
Acties uitvoeren: De implementatie van de aanpak vindt
plaats.
Authenticiteit verifiëren: Er wordt duidelijk gemaakt of de
ambities van de organisatie in de praktijk uitvoerbaar zijn.
Afspraken maken: Het plannen van verdere veranderingen.
Hoofdstuk 2: Risico begrijpen
Risico heeft te maken met het mogelijk optreden van schade. Het gaat bij risico om een ongewenst
effect dat zich voor zou kunnen doen en de kans daarop. Risico heeft een technische en een
menselijke benadering.
Technische benadering: objectieve aspecten staan centraal. In deze benadering is risico meetbaar en
heeft het begrip kans betrekking op een zo goed mogelijk geschatte relatieve frequentie en effect op
een objectief beschreven effect.
Menselijke benadering: risico is persoonlijk meetbaar en slaat kans voor de intuïtief beleefde
waarschijnlijkheid en effect voor de beoordeelde ernst van het effect.
Een risico kent drie elementen:
Scenario: wat kan er gebeuren en tot welk gevolg leidt dat?
Effect: hoe ernstig is het gevolg?
Kans: hoe groot is de kans dat dit gebeurt?
De effecten van risico’s zijn onder te verdelen in 3 gebieden.
Individuelle risico’s: Risico’s die individuele werknemers lopen. Het gaat dus om scenario’s met als
effect gezondheidsschade bij een specifieke werknemer.
Collectieve risico’s: Risico’s die collectieve groepen mensen lopen. Het gaat dus om de scenario’s dat
meerdere werknemers bijvoorbeeld ziek worden of verzuimen.
Bedrijfsrisico’s: Risico’s die het bedrijf loopt. Het gaat dus om scenario’s die de hele organisatie als
geheel treffen. Deze kunnen afgeleide zijn uit de bovenstaande gebieden, maar ook scenario’s
waarvan de oorsprong buiten de onderneming ligt zoals het ontstaan van een ramp of extreem grote
schade.
2
, Zuivere risico’s: gebeurtenissen die wanneer zij optreden altijd tot verliezen zullen leiden
Speculatieve risico’s: gebeurtenissen die gericht zijn op het behalen van winst maar waar ook de
kans op een verlies bestaat. Bijvoorbeeld aandelen of bedrijfspanden die in waarde kunnen stijgen
maar ook dalen.
Risicokenmerken vallen uiteen in twee categorieën.
Ten eerste kenmerken die gebaseerd zijn op kans en effect het gaat hierbij om maten waarin de
ernst van het effect of de schade, en de waarschijnlijkheid van het optreden daarvan is verwerkt.
Als tweede kenmerken die gebaseerd zijn op beleving en perceptie van het risico. Het gaat hierbij om
hoe de gevoelsmatige beoordeling van het risico door betrokkenen is verwerkt.
Binnen risicomanagement bestaan vier benaderingen om de risico’s van een organisatie te
beheersen.
1. Risicovermijding: het stoppen van risicodragende activiteiten.
2. Risicoreductie: het minimaliseren van risico’ door een combinatie van hard en soft controls.
3. Risicoverplaatsing: verplaatsen van risico’s naar een andere organisatie, bijvoorbeeld door
verzekeren.
4. Risicoretentie: Zelf dragen van risico’s en de eventuele verliezen accepteren.
Risicobeheersing is nooit af en de vier benaderingen zijn op te vatten als stappen in een proces van
voortdurende verbetering. Zo kunnen zelf gedragen risico’s later alsnog in aanmerking komen voor
een van de eerste categorieën
Om de weg van risico-inventarisatie en evaluatie naar normstelling en beheersing af te leggen zijn
verschillende manieren. Er zijn twee benaderingen, een deterministische en een probabilistische.
- In de deterministische benadering staan gevaren centraal. Dit houdt in een of meerdere
scenario’s met bijbehorende effecten. De risicobeheersing is gericht op het voorkomen van
het optreden van de effecten. Het vaststellen van normen die veilig en onveilig bepalen is
hierbij een praktische uitwerking.
- In de probabilistische benadering staan risico’ centraal, er wordt niet alleen gekeken naar
effecten maar ook naar kans op het voorkomen. In deze benadering geldt dat elk effect kan
optreden, maar de kans daarop klein kan zijn of worden gemaakt. Hier gelden normen niet
als grens tussen veilig en onveilig, maar geeft het aan of het risico acceptabel is.
De verschillende vormen van onzekerheid bij risico’s kan worden onderverdeeld in vier categorieën.
- Bij eenvoudige risico’s bestaat er overeenstemming over causale relaties en
ervaringsgegevens. Er zijn dus betrouwbare gegevens over kans een effect. Risico’ kunnen
makkelijk beoordeeld worden en discussies gaan vooral over de manier van beheersing.
- Bij complexe risico’s is er onvoldoende kennis beschikbaar over de oorzaak-gevolgrelatie. De
onzekerheid betreft niet alleen de kans maar ook de geloofwaardigheid van een scenario.
Het is van belang voortdurend meer informatie te verzamelen over deze risico’s
3
