introductie in risicomanagement_komosie_6.12.13

©MGDequae_2013 1

Introductie in risicomanagement

Marie G. Dequae6 december 2013Kwadraet Gent

In opdracht van CollondSE met steun van de Vlaamse Overheid

©MGDequae_2013 2

agenda

9u00- 9u30: ontvangst deelnemers9u30-11u00:

11u00-11u30: koffiepauze11u30-12u30: 12u30-13u30: lunch13u30-15u00: 15u00-15u30: koffiepauze15u30-17u00:

©MGDequae_2013 3

agenda

Wat zijn risico’s en risico management? p.3-25

Risico management proces (deel 1):Context omschrijven p. 28-34

Risicobeoordeling p. 35-87

Risicobronnen p. 88-103

Oefening p. 104-107

KMO risk management toolkit – oefening p.108-119

Risico management proces (deel 2):Risico behandeling en –controle p.120-129

Risicocommunicatie en –monitoring p.129-141

©MGDequae_2013 4

Wat zijn risico’s?

Could you use a crystal ball for risk management?http://www.youtube.com/watch?v=tskeH4ZYUL0

http://www.youtube.com/watch?v=tskeH4ZYUL0

©MGDequae_2013 5

Definities en begrippen: risicoDefinities en begrippen: risico

• Risico is het effect van onzekerheid op het behalen van doelstellingen.

– Een effect is een afwijking ten opzichte van de verwachting – positief en/of negatief.

– Doelstellingen kunnen worden gekenmerkt door verschillende aspecten (bijvoorbeeld financiële, veiligheid- of milieudoelen) en kunnen betrekking hebben op verschillende niveaus (zoals strategisch, organisatiebreed, een project, product of proces).

– Onzekerheid is het geheel of gedeeltelijk ontbreken van informatie over, inzicht in of kennis van een gebeurtenis, de gevolgen daarvan of de waarschijnlijkheid dat deze zich voordoet.

[ISO Guide 73:2009]

©MGDequae_2013 6

Risk

Universe

©MGDequae_2013 7

Waarom stilstaan bij risico’s?

• We zien inderdaad dat ondernemen gevaren inhoudt die soms tot ongevallen en incidenten leiden.

• De zaken verlopen niet altijd zoals gepland.• Belangrijke boodschap is dat risico’s kunnen beïnvloed

worden zodat zakelijk succes beter gegarandeerd kan worden.

Gevaar = bron van potentieel letsel of schade, of een situatie met potentieel voor letsel of schade

Risico = combinatie van mogelijkheid en gevolg van een specifiek gevaarlijk gebeuren (ongeval of incident)

Een risico wordt vaak uitgedrukt als een combinatie van de gevolgen van een gebeurtenis (ernst) (met inbegrip van wijzigingen in omstandigheden) en de bijbehorende waarschijnlijkheid dat de gebeurtenis zich voordoet.

©MGDequae_2013 8

FoutenboomFeitenboom Gevolgenboom

Gebeurtenis

Sch

ade

Bas

isoo

rzak

en

3 onderdelen van een risico

IMPACT of ERNSTWAARSCHIJNLIJKHEID

Oorzaken Gevolgen

©MGDequae_2013 9

Definities en begrippen: risicoDefinities en begrippen: risico

• Een gebeurtenis is het optreden van of wijziging in een bepaalde combinatie van omstandigheden.

– Een gebeurtenis kan een- of meerledig zijn en kan diverse oorzaken hebben.– Een gebeurtenis kan er ook uit bestaan dat iets niet gebeurt.– Een gebeurtenis kan soms ook worden aangeduid als een ‘incident’ of ‘ongeval’.– Een gebeurtenis die geen gevolgen heeft, kan ook als een ‘bijna-ongeluk’ (‘near miss’, ‘near

hit’, ‘close call’) of ‘incident’ worden omschreven.

• Een gevolg is de uitkomst van een gebeurtenis waardoor doelstellingen worden beïnvloed.

– Een gebeurtenis kan een reeks gevolgen hebben.– Een gevolg kan zeker of onzeker zijn en kan het behalen van de doelstellingen positief of

negatief beïnvloeden.– Gevolgen kunnen kwantitatief of kwalitatief worden uitgedrukt.– Aanvankelijke gevolgen kunnen escaleren door domino-effecten.

• Waarschijnlijkheid is de kans dat iets gebeurt.[ISO Guide 73:2009]

©MGDequae_2013 10

Enkele voorbeelden

• Een nieuwe meubelspuiterij brandt uit:– 31.1.13 brand in nieuwe meubelspuiterij in Mortsel De Brug:

http://www.demorgen.be/dm/nl/989/Binnenland/article/detail/1571498/2013/01/31/Brand-vernielt-gloednieuwe-meubelspuiterij-in-Mortsel.dhtml#.UQvFB_8Snyk.email meer info rond schade ook in omgeving

In het VRT nieuws werd ook verwezen naar gevolgschade en lange stilstand om nieuwe machines te krijgen

• Een ontploffing in Duitsland (26/11/2012): – Knal in sociale werkplaats in Titsee Neustadt waar 120 personen werken: 14 doden en vele

gewondenhttp://nos.nl/video/444906-14-doden-bij-brand-duitse-sociale-werkplaats.html• Natuurfenomenen: storm, bliksem, sneeuw,…• Strategie: verlies business door verkeerde planning, …• IT: overgang naar nieuw ERP systeem, en vertragingen met grote

gevolgen

http://www.demorgen.be/dm/nl/989/Binnenland/article/detail/1571498/2013/01/31/Brand-vernielt-gloednieuwe-meubelspuiterij-in-Mortsel.dhtml#.UQvFB_8Snyk.email



©MGDequae_2013 11

Zeker 2 miljoen euro schade door brand in beschutte werkplaats in Mortsel

Brand vernielt gloednieuwe meubelspuiterij in Mortsel

10 feb 2009 Een winstwaarschuwing bij sociale werkplaats Wedeka in Stadskanaal.Werkvoorzieningschappen krijgen vanwege de economische crisis minder orders binnen. Vooral inpak- en montage-afdelingen zijn hier de dupe van…, maar het aantal orders vanuit de industrie loopt fors terug. Op de sociale werkplaatsen van Alescon in Hoogeveen zagen ze de terugval op inpakafdelingen aankomen. Die afdeling is al ingekrompen en daardoor heeft het bedrijf minder last van de crisis.

HALLE - De beschutte werkplaats De Floere in Essenbeek is gered. Na twee jaar van crisismanagement klom De Flore uit de rode cijfers dankzij meer klanten en een efficiëntere organisatie op de werkvloer.

10.2.11

Diefstal in beschermde werkplaats in Diest

Faillissement dreigt voor Wasserij De Ster in Torhoutvrijdag 24 augustus 2012 om 09u40 Torhout - Het gaat niet goed bij Wasserij De Ster in de Industrielaan in Torhout. Eerder deze week stuurde zakenpartner OptimaT een twintigtal van haar werknemers ’s ochtends meteen weer naar huis. Naar verluidt liggen achterstallige betalingen aan de basis van de kortsluiting in desamenwerking.

©MGDequae_2013 12

Verdere ervaringen (a)

©MGDequae_2013 13

Verdere ervaringen (b)

• ERP implementatie: een muis die een olifant werd en hoe deze terug naar een muis brengen en een foutenfestival terugdringen

•Black swan: kleine oorzaak maar grote effecten: beter vermijden

©MGDequae_2013 14

Risico managementRisico management• Risico Management

gecoördineerde activiteiten om een organisatie te sturen en te beheersen met betrekking tot risico’s

• Kader voor Risico Managementgeheel van componenten die de basis en organisatorische maatregelen bieden voor ontwerp, implementatie, monitoring, beoordeling en continue verbetering van risicomanagement in alle lagen van de organisatieDe basis omvat beleid, doelstellingen en mandaat voor en verbintenis tot het managen van risico’s.De organisatorische maatregelen omvatten plannen, relaties, verantwoordelijkheden, middelen, processen en activiteiten.Het kader voor risicomanagement is ingebed in de algemene strategische en operationele beleidslijnen en werkwijzen van de organisatie.

• Risico Management processystematische toepassing van beleidslijnen, procedures en werkwijzen op de activiteiten met betrekking tot communicatie, overleg, vaststelling van de context, en het identificeren, analyseren, evalueren, behandelen, monitoren en beoordelen van risico’s.

[ISO Guide 73:2009]

©MGDequae_2013 15

©MGDequae_2013 16

©MGDequae_2013 17

Om succesvol te zijn moet risicomanagement:

• Proportioneel zijn met het risicopeil van de ganse organisatie,• In lijn zijn met de andere bedrijfsactiviteiten,• Allesomvattend zijn bij de behandeling van alle risico’s,• Ingebed zijn in de routine activiteiten,• Dynamisch in juist reageren op wijzigende voorwaarden.

©MGDequae_2013 18

Waarom Risk Management?Waarom Risk Management?

• Effect van interne en externe factoren op organisatie– Creatie onzekerheid door risico-escalatie (cfr volgende slide)– Effect van onzekerheid op de doelstellingen van de organisatie = ‘risico’– Effect op alle activiteiten van een organisatie

• Behoefte aan beheersing van risico’s– Verantwoordelijkheid van raad van bestuur (cfr slide)– Hoe?: Identificeren – analyseren - evalueren (risico beoordeling);

gevolgd door risicobehandeling– Verder: communicatie en overleg met belanghebbenden, monitoren

risico’s en beheersmaatregelen – Proces van Risk Management

©MGDequae_2013 19

RisicoRisico--escalatieescalatie

risico-escalatie = meer dan proportionele groei van de risico’s (in vergelijking met groei productie) door:– technologische vooruitgang (bv. computersturing van machines en

gevoeligheid van blikseminslag, IT en internetevolutie),– toegenomen concentratie- en specialisatietendens door

Internationalisering en globaliseringstendensUitbesteden van activiteiten en productie (‘outsourcen’)‘insourcen’

– permanente verandering en steeds snellere verandering– globalisering en pandemie– hogere bewustwording van de consumenten en sneller klachten

indienen– evolutie juridisch kader en regelgeving (bv Europese directieven)

©MGDequae_2013 20

©MGDequae_2013 21

Verantwoordelijkheden van de raad van bestuur

©MGDequae_2013 22

Wat verloopt er niet zoals gepland?

• De vraag naar een product valt weg door technologische vooruitgang

• Klanten- en omzetverlies na verhuis van winkel• Diefstal van goederen • Afwezigheid van de juiste competentie of ziekte

veroorzaakt een bezettingsprobleem• Een grote klant betaalt niet meer• Op sociale media wordt reputatie schade aangebracht• Netwerk valt uit• Vrachtwagen in panne• Belangrijke data geraakt verloren• ….

©MGDequae_2013 23

Zaken die niet goed lopen

Problemen, mislukkingen, fouten

Onveilige handelingen/situaties

Bijna ongeval –’near misses’

Klein verlies –materiële schade

Ernstig ongeval

letselschade

ongevallen

incidenten

Bijna ongevallen

risicobeheer

Schade-en letselbeheersing

©MGDequae_2013 24

Hoe kan het risk management aangepakt worden?

ISO 31000

©MGDequae_2013 25

Bewuster rond risico’s werken

Eenvoudige uitgangspunten:• Als je niet naar risico’s vraagt, krijg je ze ook niet te

horen;• Twee weten meer dan één;• Wie zijn risico’s niet kent, heeft geen keuze;• Niemand is belangeloos;• Risico’s worden best beheerst door hen die er belang bij

hebben;• Wie niet reflecteert op successen en fouten, stopt met

leren;

©MGDequae_2013 26

Yin & Yang van risicomanagement

Harde kant (yang)

• Risk oversight committees• Policies & procedures• Risk assessments• Measures and reporting• Risk limits• Audit processes• systems

Zachte kant (yin)

• Risk awareness & risk culture• People• Skills• Integrity• Incentives• Culture & values• Trust & communication

er moet een evenwicht zijn tussen Yin & Yang

©MGDequae_2013 27

Risico organisatie

©MGDequae_2013 28

Risicomanagement proces (RMP)

©MGDequae_2013 29

29

Elements of Risk ManagementElements of Risk Management

Effective Risk Management is made up of:– Risk Assessment: identify, analyze, prioritize– Risk Control: planning, resolution, monitoring

RISK RISK MANAGEMENTMANAGEMENT

RISK RISK CONTROLCONTROL

RISK RISK ASSESSMENTASSESSMENT

IDENTIFICATIONIDENTIFICATION

ANALYSISANALYSIS

PLANNINGPLANNING

PRIORITIZATIONPRIORITIZATION

RESOLUTIONRESOLUTION

MONITORINGMONITORING

©MGDequae_2013 30

risicobeoordelingrisicobeoordeling

RisicoRisico--identificatieidentificatie

RisicoanalyseRisicoanalyse

RisicoRisico--evaluatieevaluatie

RisicobehandelingRisicobehandeling

Omschrijf de context Omschrijf de context (doelstellingen en risicostrategie)(doelstellingen en risicostrategie)

Monitoring

Monitoring

en opvolgingen opvolging

Com

municatie en consultatie

Com


risico management procesrisico management proces

©MGDequae_2013 31

Doelstellingen Doelstellingen

• Doelstellingen op verschillende niveaus (ISO Guide 73:2009):– Strategisch, – Organisatiebreed, – Een project, product of proces

• Doelstellingen op verschillende aspecten:– Financiële doelstellingen: omzet,…– Operationele doelstellingen: efficiëntie, veiligheid,…– Kwalitatieve doelstellingen

• Voor processen:– Informatie over doelstellingen vanuit procesvoorstelling

(schildpad-turtle)

©MGDequae_2013 32

TurtleTurtle diagramdiagram

input(WAT)

output(WAT)

start(WANNEER)

regels(WAAROM)

doelstelling(WAAROM)

einde(WANNEER)

belangengroep(WIE)

actoren(WIE)

middelen(WAT)

plaats(WAAR)

p r o c e s

©MGDequae_2013 33

RisicobereidheidRisicobereidheid

• Risicobereidheid (Risk Appetite) van een organisatie =De houding van een organisatie m.b.t. het nemen van risico's, die op haar beurt bepaalt hoeveel risico die organisatie aanvaardbaar vindt

• 3 mogelijke houdingen:1. Risico-afkerig (Risk-averse/Risk-avoiding)

Iets met een zekere monetaire uitkomst wordt verkozen boven een gok met een (gelijke of) hogere verwachte monetaire waarde

2. Risico-neutraal (Risk-neutral)3. Risico-zoekend (Risk-seeking/Risk-loving)

Iets met een zekere monetaire uitkomst wordt verworpen voor een gok met een (gelijke of) lagere verwachte monetaire waarde

©MGDequae_2013 34

Risico beleid Risico beleid vsvs strategie strategie

• Risico beleid:Communicatie over hoe risico management zal geïmplementeerd en uitgevoerd worden om de doelstellingen te realiseren.

• Risico strategie:– Praktische uitwerking van het beleid– Op niveau van programma, project, proces,… zeer specifiek– Inhoud:

Beschrijving activiteitRollen en verantwoordelijkhedenProcesbeschrijvingEvaluatie tools (schalen impact en waarschijnlijkheid)Templates…

©MGDequae_2013 35

Risico’s• Patrimonium blijft belangrijk: brand en IT

risico’s• Kredietrisico wordt ook hoog in prioriteit

geplaatst• Vervolgens aansprakelijkheden• Toelevering met focus op toevertrouwde

goederen:– Waarde van toevertrouwde goederen

kan groot zijn– Wel frequent contract, maar meestal

geen contractuele afspraken rond aansprakelijkheden, exit scenario’s of toevertrouwde goederen

– Transport meestal met eigen transportmiddelen?

• Productieproblemen en product recall:– Afhankelijkheid, kwaliteitsproblemen en

mogelijke recall?– Traceerbaarheid: prioriteit?

• Strategie en risico’s:– Medewerking aan productontwikkeling– Dikwijls grote klanten?– Alle sectoren?

• ……….

Verzekering

• Welke risico’s afdekken?• Specifieke risico’s vragen

specifieke behandeling• Verzekeringscontracten

duidelijk aangepast aan de activiteiten en de evolutie van deze activiteiten

• Belangrijk regelmatig contact met verzekeringsagent of -consulent

©MGDequae_2013 36

Te stellen sleutelvragen (KRIS)

R is voor ReturnRealiseren we voldoende return met de risico’s die we nemen?

I is voor ImmunizatieZijn de controlesaanwezig om de risicoverliezen te minimaliseren?

S is voor SystemenHebben we de systemenom risico te meten en te beheersen?

K is voor KennisHebben we de juiste mensen, vaardigheden, cultuur en waarden voor effectief risicomanagement?

©MGDequae_2013 37

Risicobeoordeling:

Risico-identificatieRisicoanalyse

Risicoevaluatie

RMPRMP

©MGDequae_2013 38

Definities en begrippen: Definities en begrippen: risicobeoordelingrisicobeoordeling

• Risicobeoordeling is het gehele proces van risico-identificatie, risicoanalyse en risico-evaluatie

• Risico-identificatie is het proces waarmee risico’s worden opgespoord, herkend en beschreven– Risico-identificatie omvat de identificatie van risicobronnen,

gebeurtenissen, en de oorzaken en mogelijke gevolgen ervan.– Bij risico-identificatie kunnen historische gegevens, theoretische

analyse, onderbouwde meningen en meningen van deskundigen en de behoeften van belanghebbenden worden betrokken.

• Een risicobron <of gevaar> is een element dat afzonderlijk of incombinatie met andere elementen de mogelijkheid in zich heeft tot een risico te leiden– Een risicobron kan tastbaar of niet-tastbaar zijn.

[ISO Guide 73:2009]

©MGDequae_2013 39

Definities en begrippen: Definities en begrippen: risicobeoordelingrisicobeoordeling

• De risicoanalyse is het proces dat tot doel heeft de aard van het risico te begrijpen en het risiconiveau vast te stellenRisicoanalyse vormt de basis voor risico-evaluatie en voor besluiten omtrent risicobehandeling.

• De risico-evaluatie is het proces waarin de resultaten van een risicoanalyse worden vergeleken met risicocriteria om vast te stellen of het risico en/of de omvang ervan aanvaardbaar of tolereerbaar isDe risico-evaluatie ondersteunt de besluitvorming omtrent de risicobehandeling.

[ISO Guide 73:2009]

©MGDequae_2013 40







Monitoring

Monitoring


Com


Com



©MGDequae_2013 41

Identificatie: “als je niet naar risico’s vraagt, krijg je ze ook niet te horen”

• Doel is een overzicht te krijgen van gebeurtenissen die het behalen van doelstellingen verhinderen: risico’s in kaart brengen

• Belangrijk vooraf te bepalen wie zal meedoen in deze oefening en wie dit proces zal begeleiden

• Hoe? Individuele interviews, groepsbijeenkomst, combinatie, brainstorming, …

• Goede registratie van risico’s met oorzaken en gevolgen

©MGDequae_2013 42


• Risico-identificatie is het proces waarmee risico’s worden opgespoord, herkend en beschreven.

• Afhankelijk van het te analyseren onderwerp, de beschikbare informatie,… kunnen verschillende technieken gebruikt worden.

• Volgende technieken zijn toepasbaar in deze fase:

1. MUOPO2. FMEA – Failure Mode and Effect Analysis

3. SWIFT – Structured What If Technique

4. Incidentenanalyse5. Checklists

©MGDequae_2013 43

1.MUOPO?1.MUOPO?

• Identificatie van mogelijke risico’s aan de hand van het systematisch overlopen van de beïnvloedende (risico)factoren.

• Risicofactor – Elke factor die een gevaar kan beïnvloeden en die daardoor het ontstaan van het

risico bepaalt– Verschillende factoren kunnen zich tegelijkertijd voordoen– Kans op schade verhoogt = risico verhoogt– De interactie op zich = een risicofactor

• MUOPO staat voor:– Mens– Uitrusting– Omgeving– Product– Organisatie

1.MUOPO?1.MUOPO?MUOPOFMEA – Failure Mode and Effect Analysis

SWIFT – Structured What If Technique

IncidentenanalyseChecklists

©MGDequae_2013 44

Werksituatie1.MUOPO : Risicofactoren1.MUOPO : Risicofactoren

ONVOLKOMENHEDEN

ONVOLKOMENHEDENProduct

MiddelenUitrusting

Omgeving

Organisatie

Mens

80-90 %

©MGDequae_2013 45

1.MUOPO : Risicofactoren1.MUOPO : Risicofactoren

Opeenvolging van

gebeurtenissen

Sequentiële causaliteitONVOLKOMENHEDEN

ONVOLKOMENHEDEN

Ontstaan van schade = DOMINO-model

• Reeks opeenvolgende fasen gezien in de tijd

• Overgang van fase onomkeerbaar

• Factoren: gebeurtenissen, toestanden, handelingen, objecten, ...

©MGDequae_2013 46

De mens (M) die het werk uitvoert(handeling, ingreep, initiatief,…)

MMUOPOUOPO

= De persoonlijke (gedragsbepalende) factoren• bepaald door de rol van de mens, het individu• bepaald door fysieke en psychische eigenschappen• gedrag (risiconemend, gebruik alcohol, medicijnen, e.a.),• motivatie, participatie, veiligheidsbewustzijn• gewoontes, natuurlijke aanleg,• leeftijd,• ervaring, opleiding• kennis van voorschriften, instructies, veiligheidsregels,• bepaald door fysieke (gezondheid, gestalte)• en psychische eigenschappen

1.MUOPO : Componenten1.MUOPO : Componenten

©MGDequae_2013 47

De uitrusting (U)

die daarbij nodig is (machine, toestel, installatie, gereedschap, hulpmiddel, …)

MMUUOPOOPO

= De technische factoren• bepaald door uitrusting• de materiële en technische vormgeving van het systeem• uitgebreidheid van de installatie (overzichtelijk of onoverzichtelijk); • aanwezigheid van de juiste gereedschappen, hulpmiddelen,• toegangsregeling en –controle,• de automatisatiegraad,• degelijkheid nazicht en onderhoud

1.MUOPO: Componenten1.MUOPO: Componenten

©MGDequae_2013 48

De omgeving

waarin gewerkt wordt: zowel de omgeving van de mens als van de uitrusting(de werkomgeving als de leefomgeving)bijvoorbeeld: plotse gebeurtenis, klimaatsomstandigheid, derde firma, oneffen werkvloer, …

MUMUOOPOPO

= De omgevingsfactoren die betrekking hebben tot:

• de materiële omgeving zoals de ruimte, de verlichting, het klimaat• de psychosociale omgeving• de sociaal-economische omgeving en de nieuwe technologieën

.

de verschuiving in werkgelegenheidspatronen (b.v. aantal werkende vrouwen, etnische minderheden, herverdeling technici/handenarbeid/leidinggevenden)


©MGDequae_2013 49

Het product = het proces

waarmee gewerkt wordt, van input tot output, met inbegrip van elementenuit sturende en ondersteunende processen

MUOMUOPPOO

= De procesgebonden factoren te wijten aan:

.

• de omstandigheden waarin het proces wordt uitgevoerd• de aard en toestand van de input • de randvoorwaarden


©MGDequae_2013 50

MUOPMUOPOODe organisatie van het werk

dit houdt verband met de procedures, de werkmethodes, de taakverdeling, de beschikbaarheid van mensen, van uitrusting en product.

= De organisatorische factoren :

• personeelsbeleid• aanschaffen van middelen• opleiding en training• opzetten van systemen, procedures en instructies• werkvoorbereiding en planning, …


©MGDequae_2013 51

• De MUOPO-methode wordt niet enkel toegepast voor – het proactief detecteren van gevaren en risico’s– ook reactief, voor het onderzoeken van (schier) ongevallen

• De voordelen van deze methode :– Niet enkel technisch– Snel en eenvoudig– Ruim toepassingsgebied

• De nadelen van deze methode :– Gebrek aan verbanden tussen oorzaken– Enkel beschrijvend

1.MUOPO : voor1.MUOPO : voor-- en nadelenen nadelen

©MGDequae_2013 52

2.FMEA?2.FMEA?

• FMEA staat voor Failure Mode and Effect Analysis• Systematisch en kwalitatief onderzoek van een systeem bij

voorzienbare uitval van één van de samenstellende componenten van een systeem.

Fou

ten

Tijd

Verwijderenvan fouten

Oorsprongvan fouten

FMEA

2.FMEA?2.FMEA?MUOPOFMEA – Failure Mode and Effect

AnalysisSWIFT – Structured What If Technique


©MGDequae_2013 53

2.FMEA : Systematiek van de analyse2.FMEA : Systematiek van de analyse

• FMEA is een bottom-up analyseFMEA als analyse van component-uitval

vertrekpunt : uitval van een component.controle invloed van betrouwbaarheid van hetsysteem.

FMEA als analyse van functie-uitval.vertrekpunt : uitval van een functie.

• Systematiek– Uitgangspunt :

systeemtoestand waarbij alle componenten intact zijn.– Systeem wordt opgedeeld in componenten.– Per component: Bepaling van de faalwijze, faaloorzaak en mogelijke

detectiewijze en gevolgen voor een bepaald systeem.– Na vervollediging worden de kritische falingen bepaald.

©MGDequae_2013 54

2.FMEA : Voor2.FMEA : Voor-- en nadelenen nadelen

• Nadelen:– FMEA analyseert slechts 1 faalwijze per keer, meervoudige faalwijzen

en hun gevolgen worden hier niet geanalyseerd.– In complexe systemen wordt een FMEA heel moeilijk en complex.

• Voordelen:– Duidelijke en gekende techniek

©MGDequae_2013 55

3.Swift?3.Swift?

• Swift staat voor Structured What If Technique.

• Methode bestaat uit het voeren van een geleide brainstormsessie,aan het hand van het stellen van een aantal ‘Wat als…’ vragen.

• Op het einde van de sessie beschikt men over een lijst met mogelijke risico’s verbonden aan het proces.

3.Swift?3.Swift?MUOPOFMEA – Failure Mode and Effect Analysis

SWIFT – Structured What If TechniqueIncidentenanalyseChecklists

©MGDequae_2013 56

3.Swift: methodiek3.Swift: methodiek

• Stap 1. Definieer het te analyseren systeem– Bepaal of definieer het systeem waarop je de ’wat als’-vragen wil loslaten of

waarvoor je deze vragen wil opstellen.– Stel een reeks op van ’wat als’-vragen op.– Wees realistisch bij het opstellen van de vragen.– Blijf vragen opstellen tot uitputting...– Deze vragen zullen als uitgangsbasis dienen voor de ’wat als’-brainstorming.

• Stap 2. Brainstormen– Stel elke ’wat als’-vraag aan de groep– Iedereen probeert voor zich een antwoord te formuleren.– De voorzitter overloopt persoon per persoon zijn antwoord en argumentatie.– Alle antwoorden en argumentaties worden genoteerd.– Vervolgens mag men discussiëren rond de gegeven antwoorden en

argumentaties.– Voorzitter leidt het gesprek in een goede baan.

• Stap 3. Rapporteren

©MGDequae_2013 57

3.Swift : Voor3.Swift : Voor-- en nadelenen nadelen

• Voordelen:– Laat toe om relatief snel een installatie te onderzoeken binnen een

multi-disciplinaire groep van +/- 4 personen.

• Nadelen:– Niet eenvoudig om de zoektocht naar ongewenste gebeurtenissen

gestructureerd te laten verlopen.

©MGDequae_2013 58

4.Incidentenanalyse?4.Incidentenanalyse?

• Incidentenanalyse overloopt alle vroegere incidenten en ‘nearmisses’ om een gedetailleerde analyse te maken van de opeenvolgende gebeurtenissen.

• Doel van de analyse:– Het onderzoeken van mogelijke oorzaken of combinaties van oorzaken

die kunnen leiden tot een topgebeurtenis.– Het identificeren van deze topgebeurtenis.– Het visualiseren van de (on)afhankelijkheid van diverse oorzaken

(fouten).

MUOPOFMEA – Failure Mode and Effect



©MGDequae_2013 59Foutenboom Gevolgenboom

Ongeval

Bas

isoo

rzak

enAlles dat het ongeval

vooraf gaatAlles wat na het ongeval gebeurt

Sch

ade

4.Incidentenanalyse : Foutenboom4.Incidentenanalyse : Foutenboom

©MGDequae_2013 60

4.Incidentenanalyse : Opbouw van een 4.Incidentenanalyse : Opbouw van een foutenboomfoutenboom

• Uitgangspunt : ongewenste gebeurtenis.• Onderzoek naar mogelijke onderliggende oorzaken (fouten) van de

ongewenste gebeurtenis.• Het visualiseren van de diverse ongewenste oorzaken (fouten) in

een boomstructuur.• Een ‘onafhankelijke oorzaak’ is een oorzaak die niet afhangt van

een gebeurtenis van een andere component in een systeem opdat zich de ‘ongewenste gebeurtenis’ zou kunnen voordoen.

©MGDequae_2013 61

4.Incidentenanalyse : Voor4.Incidentenanalyse : Voor-- en nadelenen nadelen

• Voordelen :– Flexibele en zeer gevisualiseerde analysemethode– Leren uit fouten uit het verleden: veel informatie beschikbaar

• Nadelen :– Complexe foutenbomen zijn niet meer voor iedereen zo eenvoudige

interpreteerbaar of toegankelijk.

©MGDequae_2013 62

5.Gebruik van checklists voor 5.Gebruik van checklists voor risicorisico--identificatieidentificatie

• Gevaren van gebruik checklists– Efficiënt? : te uitgebreide lijst / niet toepasbaar

tijdsverlies– Efficiënt? : te beperkte lijst

vals gevoel van zekerheid

• Goed gebruik van checklists– Als vertrekpunt / voorbereiding voor identificatiefase– Zelf opstellen checklist: Capteren ‘lessons learned’ uit vorige

identificatiesessiesincident log

– Waarde niet overschatten: hulpmiddel, geen doel

MUOPOFMEA – Failure Mode and Effect



©MGDequae_2013 63







Monitoring

Monitoring


Com


Com



©MGDequae_2013 64


• De risicoanalyse is het proces dat tot doel heeft de aard van het risico te begrijpen en het risiconiveau vast te stellen– Risicoanalyse vormt de basis voor risico-evaluatie en voor besluiten

omtrent risicobehandeling.


• Volgende technieken zijn toepasbaar in deze fase :

– Vlinderdasmodel: fouten- en gevolgenboom

– Ishikawa

©MGDequae_2013 65

Vlinderdasmodel?Vlinderdasmodel?

• Centraal: ongewenste gebeurtenis.

• Linkerkant vlinderdasmodel: oorzaken

• Rechterkant vlinderdasmodel: gevolgen

• Barrières: beheersmaatregelen

©MGDequae_2013 66

Vlinderdasmodel: OmschrijvingVlinderdasmodel: Omschrijving

• Linkerkant vlinderdas:– Directe en onderliggende gevaren (oorzaken) – Foutenboom: brengt alle mogelijke oorzaken in kaart die geleid hebben

tot de ongewenste gebeurtenis– Illustratie beheer van gevaren

• Meerdere oorzaken => één ongewenste gebeurtenis• Doel beheersmaatregelen: barrière om de ongewenste gebeurtenis

te voorkomen.• Aantal beheersmaatregelen faalt of is afwezig => ongewenste

gebeurtenis• “Zijn afdoende beheersmaatregelen genomen om ongewenste

gebeurtenissen te voorkomen?”

©MGDequae_2013 67

Vlinderdasmodel: OmschrijvingVlinderdasmodel: Omschrijving

• Rechterkant vlinderdasmodel:– Gevolgenkant: alle mogelijke gevolgen van de ongewenste gebeurtenis– Gebeurtenissenboom: schetst de vervolggebeurtenissen die kunnen

optreden als gevolg van de ongewenste gebeurtenis– Aangerichte schade kan verwaarloosbaar tot catastrofaal zijn

• Eén ongewenste gebeurtenis => meerdere gevolgen.• Doel beheersmaatregelen: mogelijke schade voorkomen of

beperken.• “Zijn, in geval van een ongewenste gebeurtenis, de juiste

beheersmaatregelen genomen om de mogelijke gevolgen van de gebeurtenis uit te sluiten of tot een minimum te beperken?”

©MGDequae_2013 68FoutenboomFeitenboom

Gevolgenboom

Gebeurtenis

Alles dat de gebeurtenis vooraf gaat

Alles wat na de gebeurtenis gebeurt

Sch

ade

Bas

isoo

rzak

en

VlinderdasmodelVlinderdasmodel

©MGDequae_2013 69Oorzaken wegnemen Barrières opwerpen

Gebeurtenis

Alles dat de gebeurtenis vooraf gaat

Alles wat na de gebeurtenis gebeurt

Sch

ade

Bas

isoo

rzak

en

Vlinderdasmodel?Vlinderdasmodel?

©MGDequae_2013 70

Vlinderdasmodel: VoorVlinderdasmodel: Voor-- en nadelenen nadelen

• Voordelen :– Flexibele en zeer gevisualiseerde analysemethode– Bevat veel informatie– Bruikbaar voor meerdere doelstellingen

• Nadelen :– Tijdrovend in samenstelling

©MGDequae_2013 71


• De risicoanalyse is het proces dat tot doel heeft de aard van het risico te begrijpen en het risiconiveau vast te stellen– Risicoanalyse vormt de basis voor risico-evaluatie en voor besluiten

omtrent risicobehandeling.


• Volgende technieken worden overlopen:

– Vlinderdasmodel: fouten- en gevolgenboom

– Ishikawa

©MGDequae_2013 72

IshikawaIshikawa??

• Visgraatmodel is een methode om de verschillende oorzaken van een probleem systematisch in kaart te brengen.

mens methode

materiaal

middenmiddelen

GEBEURTENIS

©MGDequae_2013 73

ISHIKAWAISHIKAWA

Ishikawa-controlelijst : variant met 6x “M”

©MGDequae_2013 74

IshikawaIshikawa

De opbouw van het diagram:1. Selecteer een probleem:Wat is het schadegeval of de ongewenste gebeurtenis?

2. Genereren van ideeën:Brainstorm over wat de mogelijke oorzaken zijn van het probleem of het schadegeval

3. Aanmaak van de visgraat:Teken een visgraatdiagram

Zet het gevolg aan de kop van de visgraat

Groepeer de mogelijke oorzaken en breng ze in samenhang in het diagram

4. Verdere detaillering:Verfijn de visgraat

Ga door met het toevoegen van mogelijke oorzaken en detailoorzaken totdat in elke vertakking (hoofdstam) de mogelijke kernoorzaak is gevonden

5. Analyse van het diagramControleer diagram op volledigheid, eventueel door voor te leggen aan een groep

specialisten

©MGDequae_2013 75

IshikawaIshikawa• De voordelen van deze methode :

– Nadruk op veelheid van mogelijke factoren– Vermijden van te simplistische één-oorzaak één-gevolg besluitname– Vrij snelle manier om de belangrijkste oorzaken van schade op te

sommen– Vrij eenvoudig, iedereen kan meewerken– De gegevens bieden een relatief betrouwbare houvast voor de te

nemen maatregelen.– Het visdiagram geeft een gestructureerd overzicht van de onmiddellijke

en van de onderliggende oorzaken. • De nadelen van deze methode:

– Geen logische relaties zoals in foutenboom– Betrouwbaarheid van het systeem moeilijk te schatten omwille van

gebrek aan logische relaties– De onderzoekers moeten een opleiding krijgen over de methode.

©MGDequae_2013 76

Analyse en beoordeling: “twee weten meer dan één”

• Geïdentificeerde risico’s: – bepaal kans van optreden en– mogelijke gevolgen

• Als onvoldoende gegevens beschikbaar zijn gebruik een kwantificeringstabel

• Omvang van risico is kans X gevolg• Concentreer op de belangrijkste (10-tal

toprisico’s)

©MGDequae_2013 77

©MGDequae_2013 78







Monitoring

Monitoring


Com


Com



©MGDequae_2013 79

Evaluatie: “Wie niet reflecteert op successen en fouten, stopt met leren”

• RM is een cyclisch proces• Belangrijk nu en dan even terug te kijken om

beter vooruit te kunnen kijken• Hierdoor risicobewustzijn binnen team verder

aangescherpt• Evaluatie van proces: + en –• Effect op risicoprofiel• Hoe verder?

©MGDequae_2013 80


• De risico-evaluatie is het proces waarin de resultaten van een risicoanalyse worden vergeleken met risicocriteria om vast te stellen of het risico en/of de omvang ervan aanvaardbaar of tolereerbaar is– De risico-evaluatie ondersteunt de besluitvorming omtrent de

risicobehandeling.


• Volgende technieken zijn toepasbaar in deze fase : – Risicomatrix– Kinney & Fine

©MGDequae_2013 81

Zeer belangrijk

Belangrijk

Minder belangrijk

Gering

uitzonderlijk

ongewoon

Goed mogelijk

Te verwacht

en

Impact

Waarschijnlijkheid

Onaanvaardbaarrisico

Aanvaardbaar risico

Toepassing• betere techniek / werkmethode

• alternatieve werkwijze

RisicoRisico--evaluatie: risicomatrixevaluatie: risicomatrix

©MGDequae_2013 82

RisicoRisico--evaluatie: risicomatrixevaluatie: risicomatrix

©MGDequae_2013 83

RisicoRisico--evaluatie: evaluatie: KinneyKinney & Fine& Fine

• Deze techniek is omwille van zijn relatieve eenvoudige opzet de meest gebruikte of toegepaste techniek in alle bedrijfssectoren.

• Doel – Bepaling van de “grootte van het risico”– Ieder risico krijgt een numerieke score, rekening houdende met

mogelijke schade, blootstelling en waarschijnlijkheid

I x BI x B xx WWC x E x PC x E x P

©MGDequae_2013 84

R = R = I I x x B x WB x W= C x E x P= C x E x P

RR RisicograadII Impact van de

schadeCC Cost (mogelijke

schade)BB Blootstellingsfrequ

entieEE Exposure

WW Waarchijnlijkheidop schade

PP Probability

SleutelfactorenSleutelfactoren

©MGDequae_2013 85

WerkwijzeWerkwijze

W waarschijnlijkheid B blootstelling I mogelijk gevolg

persoonlijke schade materiële schade

10 te verwachten 10 bestendig 100 catastrofe: talrijke doden schade > 12.500.000 ∉ 6 goed mogelijk 6 frequent - dagelijks 40 ramp: enkele doden schade > 1.250.000 ∉ 3 ongewoon maar mogelijk 3 occasioneel - wekelijks 15 zeer ernstig: dodelijk

ongeval schade > 125.000 ∉

1 enkel in grensgeval mogelijk 2 ongewoon - maandelijks 7 ernstig: ernstig letsel (>1 maand)

schade > 12.500 ∉

0,5 denkbaar doch onwaarschijnlijk

1 zelden - enkele malen per jaar

3 belangrijk:ongeschiktheid schade > 1.250 ∉

0,2 praktisch onmogelijk 0,5 zeer zelden - eenmaal per jaar

1 te noteren incident, kwetsuur

schade > 125 ∉

0,1 virtueel onmogelijk 0,0 geen enkele blootstelling 0,0 geen schade geen schade 0,0 zelfs theoretisch onmogelijk

R risicoscore >400 zeer hoog risico, stopzetting overwegen 200 - 400 hoog risico, onmiddellijk te verbeteren 70 - 200 belangrijk risico, verbetering vereist 20 - 70 mogelijk risico, aandacht vereist 0 - 20 misschien aanvaardbaar risico 0 geen risico

W x B x I = R

©MGDequae_2013 86

In de praktijkIn de praktijk……

Combinatie van technieken:

– Volledige risicobeoordeling doorlopen aan de hand van één techniek– Analyse technieken voor de meer complexe / onaanvaardbare risico’s

Het uitvoeren van een risicobeoordeling is teamwork.Dit wil niet zeggen dat één persoon dit niet alleen zou kunnen maar i.f.v. – De gekozen methodiek;– De complexiteit van het te analyseren proces of – De arbeidsomgeving of de context waarin het proces wordt uitgevoerd

kan het best worden geopteerd voor een multidisciplinair team.

©MGDequae_2013 8710-6-2013 MGD_4/2013 13

Wie in werkgroep?

• Afhankelijk van risico • Belangrijk meerdere disciplines, meerdere

niveau’s te betrekken in de werkgroep• Werkgroep best op regelmatige tijdstippen

samen• Analyse van risico scenario’s• Evaluatie van risico’s • Waar staan we en waar naartoe?• Aanduiding van risico-eigenaar voor verdere

follow-up10-6-2013 MGD_4/2013 14

Ben je klaar voor IT risicomanagement?

• How does your company assess its risk maturity and manage risk, boterms of the business, as well as its IT infrastructure and assets?

• What strategies does your organization have in place for following indand IT best practices for mitigating risk – starting with security, and including resiliency and business continuity?

• In what ways do your company’s risk-related initiatives help improvevisibility and control, and help assure compliance with contracts, industandards, regulations and internal controls?

• How does your IT infrastructure support the ongoing performance ob

th in

ustry

stry

jectivesof the business in terms of flexibility, security, availability, scalability, resiliency and governance?

• What type of plan does your organization have for assuring that humacapital, processes and systems are able to recover and respond to a disruptive event?

n

©MGDequae_2013 88

Het multidisciplinaire teamHet multidisciplinaire team

• Vaardigheden van de voorzitter– Voorzitter is een onafhankelijke / ervaren persoon.– Mogelijks een extern persoon.– De voorzitter staat wel in voor de planning, de opvolging en de

rapportering van de resultaten van de risicobeoordeling.

• Vaardigheden van de teamleden– Het team moet zo samengesteld worden dat alle aspecten eigen aan

het proces kunnen afgedekt worden. Normale werkingWisselwerking andere processenIncidenten, ongevallenOndersteuning IT / andere diensten…

©MGDequae_2013 89

Organisatie van risicomanagement

• Commitment• Bewustzijn• Mandaat• Draagvlak• Verantwoordelijkheid

• Instrumenten• Middelen• Frequentie• Rapportage• Positionering

Voorwaarden binnen bestaande organisatie nodig om een goed risicobeheer uit te bouwen:

©MGDequae_2013 90

Intern Intern ExternExtern

Risicobronnen

RMPRMP

©MGDequae_2013 91

Risicobronnen Risicobronnen

• Interne en externe factoren hebben invloed op het bereiken van doelstellingen van de onderneming

RISICOBRONNEN

• Mogelijke opdeling:– Financiële risico’s– Strategische risico’s– Operationele risico’s– ‘Hazard’ risico’s

©MGDequae_2013 92

externeomgeving

externe omgeving

klanten

samenleving

leveranciers ontwerp

interne omgeving

aansprakeaansprake--lijkheidlijkheid

personeelpersoneel

materimateriëëleleactivaactiva informatieinformatie

resultatenresultaten aansprakeaansprake--lijkheidlijkheid

productie verkoop

transittransit transittransit

Risico’s, accidenten & & incidentenincidenten kunnenkunnen overaloveral voorkomenvoorkomen

©MGDequae_2013 93

personeelpersoneel patrimoniumpatrimonium informatieinformatie aansprakeaansprake--lijkheidlijkheid

RISICORISICO’’SS

ongevallenongevallen ––ziektesziektes

materimateriëëleleschadeschade

gevolgschadegevolgschade

diefstaldiefstal, , fraudefraude......

product,product,milieu milieu schadesschades,,

……

transittransit

WatWat kankan verkeerdverkeerd gaangaan??

krediet

financifinanciëëlele

verliezenverliezen

©MGDequae_2013 94

A structured approach to Enterprise Risk Management

© AIRMIC, Alarm, IRM: 2010

©MGDequae_2013 95

Voorbeelden risicobronnenVoorbeelden risicobronnen

• Hazard risico’s - Natuurlijke risico's, terrorisme, ...– Overstromingen, windhozen, ...– Bedreigingen van elektriciteitscentrales, vlieghavens,

drinkwatervoorziening, ...– Biologische bedreigingen, bacteriën, ...

• Technologische risico’s– Fout gebruik van informatietechnologie, – Productiefout, – Constructiefout, – Onderhoudsfout, – Uitval machines, – Onoordeelkundige behandeling, – Onvoldoende bescherming, …

©MGDequae_2013 96


• Economische risico’s– Verlies marktsegment, – Algemene economische crisis, – Stakingen, – Uitvallen van grondstoffenlevering, – Uitval energievoorziening, – Algemeen wegvallen financiële middelen

• Juridische risico’s– Onrechtmatige handelingen, – Ontbreken van vergunningen, – Tekortkomingen tov leveranciers/klanten/contractanten, ...

©MGDequae_2013 97


• Financiële risico’s– Wanbetalingen, – Bancaire risico’s : wissel / intrest / inconvertibiliteit /…, – Insolvabiliteit klant, – Nieuwe risico's als gevolg van strategische investeringen

• Organisatie structuur– Overeenkomst structuur met bedrijfsunit, – Overeenkomst tussen bevoegdheden en competenties, – Groepsrelaties: territoriale verantwoordelijkheden of thematische, of

gemixt ???

©MGDequae_2013 98


• Marketingstructuur– Is marketingdoel (KT, MT, LT) duidelijk gedefinieerd?, – Overeenkomst tussen marketingdoelen en in te zetten middelen, – Wat is de gevoeligheid tussen verzwakking ingezette middelen en het

verhoopte marketingresultaat?, – Is Marketingstrategie goed gecommuniceerd?

• Informatie en communicatie– Duidelijkheid van de doelstellingen en communicatie, tijdig, volledig,

correct, coherent, gevaren en gevoeligheid ?

©MGDequae_2013 99


• Personeel - Sociale risico’s– Fraude, fouten-vergissingen-vergetelheden, insider trading, …– (in-)stabiliteit: key-people– Kwaliteit van management: ongeschikt, (in-)competentie, onvoldoende

capaciteit, terugval op externe medewerking, onvoldoende / onaangepaste vorming, onvoldoende motiveringscultuur, geen geloofwaardige carrièreplanning, onbestaande sociale politiek, onvoldoende ervaring en individuele en/of groepscompetentie, onvoldoende evaluatie van rapportering, onvoldoende evaluatie van op te volgen procedures, ...

– Bezoldiging niet aangepast, niet afgestemde aanwerving, leeftijdspiramide, teveel nieuw personeel, sociaal passief, te snelle rotatie

– Slechte werksfeer, verstoorde arbeidsvoorwaarden, ontvoering, geografische verplaatsing van productie-units, sociale onrust, interne stakingen …

©MGDequae_2013 100


• Processen– ongepast: te zwaar - te licht– niet conform met industrienormen– onvoldoende interne controle (4 ogenpolitiek, dubbele ingeving,

reconciliaties:beheer front & back) – transactionele fouten : limiet-/tijdsoverschrijding– niet gesignaleerde vergissingen– gevolg: klachten, verlies cliënteel, reputatie …

• Projecten– vertraging, – incompatibilteit, – onvoorziene meerkost

©MGDequae_2013 101


• Informaticasupport– niet aangepast aan wensen/eisen (no fail-% disponibiliteit, te traag, te

duur, user-friendliness, ...)– integriteit programma’s/data: virussen, …– continuïteit: b-u en restore– gebruikersrisico (tijdelijke vervangingen, onvoldoende beheer…)

• Infrastructuur– onaangepast– voeding elektriciteit, data, telefonie, water, …– veiligheid

©MGDequae_2013 102


• Wettelijk, fiscaal, algemene conformiteit– Wettelijke aansprakelijkheid : punitive damages, boetes, … : risico op

faillissement.– Verantwoordelijkheid te voldoen aan eisen vanwege de controle-

instanties - “regulatory compliance”– Aansprakelijkheid derden/productaansprakelijkheid : klachten en

tegemoetkomingen cliënteel, dagvaarding, kosten juridische opvolging– vergunningen

©MGDequae_2013 103


• Risico’s uit verschillende domeinen:– Veiligheid en gezondheid– Milieu– Kwaliteit – Transport– Security

©MGDequae_2013 104

Overzicht van risico’s

• Strategische risico’s:– Onder controle om de objectieven te kunnen bereiken– Belangrijk discussies over de risico’s ivm strategische

objectieven te voeren– Risico werkzittingen en opvolgen met key risk indicators

• Externe risico’s:– Minimaliseren van effecten als risico zich realiseert (bv

natuurfenomenen)– Met scenario’s werken om doel te bereiken

• Vermijdbare risico’s:– Vermijd of elimineer het voorkomen op kost-effectieve wijze– Geïntegreerd risico beheer model, met procedures, interne

controle en internal audit

CfrCfr R. R. KaplanKaplan & A. Mikes& A. Mikes

©MGDequae_2013 107

RisicobeoordelingRisicobeoordeling

Toepassing techniek naar keuze

– MUOPO– FMEA– SWIFT– Vlinderdas– Ishikawa

©MGDequae_2013 108

Voorbeeld administratief procesVoorbeeld administratief proces

Het uitkeren van salaris aan de werknemersUitgevoerd werk

Input in programmaSoc. Secr

Invullen timesheet

Goedkeuring door chef

Loon berekening Printen loonfiche

Versturenloonfiche

Opdracht storing loon

Einde proces

OK

Opmerking Niet OK

Schematische weergave proces

Bespreking processtappen

©MGDequae_2013 110

KMO risicomanagement toolkit

This information is provided in good faith, however it is not comprehensive andIOSH accepts no liability for any losses incurredfrom its use, howsoever caused.

http://www.docstoc.com/docs/36516331/KMO-Risico-Management-Toolkit

Deze toolkit is aangepast door de UK organisatie IOSH, Institution for Occupational Safety and Health, op basis van het document dat oorspronkelijk opgebouwd werd door de Finse organisatie VTT.

Deze toolkit is overwegend gesponsord door de European Agency for Safety and Health at Work.

In België heeft PreBes een Nederlandse versie gemaakt.

Op de volgende pagina’s vindt u een aantal werkkaarten.

http://www.docstoc.com/docs/36516331/KMO-Risico-Management-Toolkit

©MGDequae_2013 123

Risicobehandeling Risicobehandeling • Op basis van de risicomatrix

4 kwadranten:– I: lage impact

lage waarschijnlijkheid– II: hoge impact

lage waarschijnlijkheid– III: hoge impact

hoge waarschijnlijkheid– IV: lage impact

hoge waarschijnlijkheid

• Per kwadrant een andere aanpak

imp

act

waarschijnlijkheidH

H

L

L

©MGDequae_2013 124

Risicobehandeling: optiesRisicobehandeling: opties

impactimpact

waarschijnlijkheidwaarschijnlijkheid

TransferTransfer TerminateTerminate

TreatTreatTolerateTolerate

©MGDequae_2013 125

Risico behandelingRisicoaanpak:

– Preventie:EliminatieMinimizatieSubstitutie,bewaking, controles

– ProtectieCollectieve/algemene passieve bescherming,Individuele/locale passieve beschermingActieve bescherming,Trainingwaarschuwingen

– Disaster recovery & contingency planning DRP/DCP

Risico transfer: ContractenVerzekeringen:

– Negotiatie– Administratie– Premium allocatie– Klachten beheer

Plan

DoAdjust

Check

©MGDequae_2013 126

A. identificatie

B. evaluatie

C. behandeling

D. transfer

verantwoordelijkheidOperationele & Technische

managers

verantwoordelijkheidRISK

MANAGEMENT

Teamwork door:Communicatie

Wederzijds begrip

risicomanagement aanpak

©MGDequae_2013 127

Afwegen alternatieven:Wie zijn risico’s niet kent, heeft geen keuze”

• Na risico’s in kaart • Nu toprisico’s beheersen• Doel is vooraf te overwegen

wat je met een risico doet• Belangrijk is risico tolerantie en

risico appetijt te bepalen• Bedenk beheersmaatregelen +

inschatting van gevraagde investering en effect op risico (cost-benefit analyse)

Beheersing: “risico’s worden het best beheerst door hen die er belang bij hebben”

• Voor de belangrijkste risico’s werden verschillende alternatieven afgewogen

• 2 belangrijke vragen:– Wie gaat het risico

beheersen? (wie wordt de risico-eigenaar?)

– Hoe pak je de uitvoering aan?

• Maak zoveel mogelijk het uitvoeren van de maatregelen onderdeel van dagelijks werk

©MGDequae_2013 128

oorzaak gevolg

vermijden

aanvaarden

verminderen

risico

Zelf dragenoverdragen

verzekeren

Uitbesteden, inkopen

Contractueel overdragen

©MGDequae_2013 130

Communicatie in risicomanagement: “het grootste risico is dat je de risico’s voor jezelf houdt”

Om goed te communiceren:• Beschouw risico’s als een ‘fact of life’• Maak risico’s bespreekbaar• Maak risicomanagement belangrijk• Houd risicomanagement hanteerbaar en praktisch• Betrek de juiste mensen• Stimuleer openheid en vertrouwen• Wees expliciet• Blijf realistisch

©MGDequae_2013 131

Risicorapportering Risicorapportering • Verschillende soorten rapportering:

– Over de beoordeelde risico’s en hun beheersmaatregelen:‘Risk register’

– Over de nodige investeringen / acties / verantwoordelijkheden:‘Risico actieplan’

– Op maat van de organisatie!!• Verschillende soorten bestemmelingen:

– Intern: regelmatig informatie rond risico’s en hoe ze aangepakt worden, bv in de comité’s naar

ManagementProcessowners en AfdelingshoofdenAndere diensten van de onderneming: verzekeringen / financiële dienst /…

– Extern:naar stakeholders: klanten, leveranciers, overheden, aandeelhouders

Maak een adviesgroep die u kan bijstaan

©MGDequae_2013 132

Risicorapportering (2)Risicorapportering (2)

• Hoe rapporteren?– Vaste templates– Radar grafiek per proces / afdeling / soort risico / …

ProcesAantal risico's

Proces A 52

Proces B 68

Proces C 42

Proces D 100Proces E 12

©MGDequae_2013 133

Geaggregeerde risicoGeaggregeerde risico’’ss• Belangrijk: geen risico’s optellen!!• Wel: geaggregeerd risico opnieuw inschalen

– Op impact / waarschijnlijkheid– Voorstellen op 1 grafiek

Risico in afdeling x

Geaggregeerd risico in afdeling x

©MGDequae_2013 135

Implementatie en Implementatie en monitoringmonitoring

• Opstellen en uitvoeren actieplannen• Monitoring:

– Door project teamleden– Door interne auditoren:

In het verleden:hoofdtaak auditor was controle van de gevolgde

procedures= kijken in de achteruitkijkspiegel

Nu: risk based auditing:

hoofdtaak auditor is controle van de beheersmaatregelen en risico’s

= vooruit kijken

©MGDequae_2013 136

Effectiviteit / Maturiteit van het Risk Effectiviteit / Maturiteit van het Risk Management systeemManagement systeem

Te controleren door de interne audit– Risicostrategie, -beleid– Verantwoordelijkheden en bevoegdheden

Bestuurder(s)Risk ManagerRisk Owner

– Middelen– Procedures en registraties– Risicobewustzijn van medewerkers– Resultaten van het Risk Management systeem: verbeteringen,

aanpassingen

©MGDequae_2013 137

KeyKey Risk IndicatorsRisk Indicators

• ‘Early warning indicator’– Wijzigingen in interne of externe context met invloed op het behalen van

doelstellingen– Invloed op de huidige risico-evaluatie

Risico wordt (on-)belangrijkerMonitoring van de risico’s

– Hoe vroeger de wijziging wordt opgemerkt, hoe beter men kan reageren.

• Hoe de juiste KRIs selecteren?– Vertrek van een aantal incidenten (reeds voorgevallen risico’s)– Voer een oorzakenanalyse uit– Bepaal welke indicatoren de oorzaken beïnvloeden KRI

©MGDequae_2013 138

KeyKey Risk Indicators (2)Risk Indicators (2)

• Verschil met KPIs (Key Performance Indicator)– Meet gebeurtenissen uit het verleden die perfomance beïnvloeden: bvb.

verkoopsresultaten van voorbije week / maand / jaar; wanbetalingen bij klanten;…

– Geven een beeld van de actuele status van de organisatie, niet van toekomstige wijzigingen

• Voorbeelden van KRI’s– Extern

Industrierapporten (van industrie waarin je veel klanten hebt)Economische indicatoren…

– InternCapaciteit van fabriekVerloop voor belangrijke functies…

©MGDequae_2013 139

Valkuilen Valkuilen KRIsKRIs

Aantal valkuilen bij het gebruik van KRIs– Altijd dezelfde KRIs gebruiken

Risico’s veranderen, dus KRIs moeten ook aangepast worden.– Link tussen KRI en risico is niet duidelijk

Er worden verkeerde conclusies getrokken.– Teveel KRIs

Teveel informatie, belangrijke gebeurtenissen worden over het hoofd gezien.

– KRI niet up-to-dateBelangrijke wijzigingen worden niet opgemerkt

©MGDequae_2013 140

De Risk ManagerDe Risk Manager

• Evolutie van de functie– Van verzekeringsmanager naar functie die strategische beslissingen

ondersteunt– Afhankelijk van de grootte van het bedrijf: voltijdse of deeltijdse functie

• Eigenschappen van de Risk Manager– Communicatie skills– Flexibel– Doorzettingsvermogen– Kan alle niveaus van de organisatie beïnvloeden

©MGDequae_2013 141

referenties

• Kaplan, R.S., Mikes, A., (2012), Managing Risks: a New Framework, Harvard Business Review, June, pp. 48-60

• IRM (Institute of Risk Management), Risk Appetite & Tolerance, guidance paper, http://www.theirm.org/publications/documents/IRMRiskAppetiteFullweb.pdf, 40p.

• IRM (Institute of Risk Management), Risk Culture: under the microscope, Guidance for Boards, http://www.theirm.org/documents/Risk_Culture_A5_WEB15_Oct_2012.pdf,20 p.

• Prebes, IOSH, KMO Risico Management, Toolkit• ISO guide 73/2009 Risk Management - Vocabulary• ISO 31000/2009, Risk Management – Principles and Guidelines• Gemeente Amsterdam, Risicomanagement – Wat zou Arie doen?• AIRMIC, ALARM, IRM, A structured approach to Enterprise Risk Management (ERM)

and the requirements of ISO 31000• Turbo risk management - Amelior• Hopkin, P. Fundamentals of Risk Management, Understanding, evaluating and

implementing effective risk management, 2nd Edition, Kogan Page Limited, 390 pp.

http://www.theirm.org/publications/documents/IRMRiskAppetiteFullweb.pdf

http://www.theirm.org/documents/Risk_Culture_A5_WEB15_Oct_2012.pdf

introductie in risicomanagement_komosie_6.12.13

Documents