Excel?
Je kunt risico’s op vele verschillende manieren vastleggen. In een Excel, risk map, rapportage in Word, of in een PowerPoint, de opties zijn legio. Inmiddels heb ik in mijn carrière zeer veel varianten voorbij zien komen. Veel van dit soort analyses zijn eenmalig, met als doel de risico’s van een onderdeel, bijvoorbeeld een project, vast te leggen.
Als je een integrale risicoanalyse doet, dan is het vaak handig om een methode te kiezen waarbij je zaken kunt bundelen. Veel organisaties starten hierbij met een risico-format waarin afdelingen of units wordt gevraagd risico’s te benoemen en kans en impact in te schatten. Uiteindelijk moeten alle ingevulde formaties worden geïntegreerd tot één rapportage. Dit vraagt vaak heel wat creativiteit van de Excel ridders.
Dialoog
Het belangrijkste nadeel van een format is dat er al zoveel zijn, en dat het concreet omschrijven van risico’s om een zeer veilige omgeving vraagt. Om dit te bereiken is een goede introductie en een sterke dialoog noodzakelijk. De meest efficiënte werkwijze is daarom om per afdeling een standaard workshop te organiseren. Tijdens deze sessie kunnen de deelnemers gemeenschappelijk met hun risico’s aan de slag gaan. Zeer prettig is dat men op deze wijze tegelijkertijd aan de risico’s werkt, waardoor snel een gemeenschappelijk profiel ontstaat. Maar laten we niet te snel gaan.
Database kennis delen, historie, consolidatie, gezamenlijk werken… kan dat in Excel?
Het echte werk moet namelijk nog steeds gaan beginnen! De essentie is immers de dynamiek in het risicoprofiel: welke risico’s worden inmiddels beheerst of zijn weggevallen, en welke nieuwe risico’s zijn er ondertussen bijgekomen. Niets is vervelender dan elke keer opnieuw te moeten beginnen.
Door het inrichten van een risicoregister, kan de dynamiek en historie van de risico’s makkelijk worden bijgehouden en gedeeld. Zo heeft elke afdeling toch vaak min of meer dezelfde HR en ICT risico’s. Daarnaast kunnen meerdere mensen gelijktijdig werken aan een risicoprofiel en kunnen risico’s op centraal niveau geconsolideerd worden. Hiermee kunnen op ditzelfde niveau verschillende dwarsdoorsneden worden gemaakt. Tevens kunnen rapportages intern en extern worden gegenereerd.
Autorisatie structuur
Bij de inrichting van het risicoregister is het erg belangrijk van tevoren goed na te denken welke velden werkelijk noodzakelijk zijn. Bijv. risicokenmerk, risico-categorie, oorzaak, risico-gebeurtenis, gevolg, kans van optreden, beïnvloedbaarheid, bestaande beheersing, nieuwe beheersing, risico-eigenaar, rest-risico etc.
Los van de databasevelden dient er goed nagedacht te worden over wie er risico’s mag toevoegen, wijzigen en inzien. Over het algemeen kunnen alleen de centrale units hun eigen genoemde risico’s aanpassen en wijzigen. Het kan natuurlijk niet zo zijn dat door hen ingevulde risico’s van bovenaf worden verwijderd. Indien er een risico in de ogen van de directie of risicomanager moet worden aangepast rest hem kortom niets dan met de betreffende afdeling of persoon in gesprek te gaan, en hen te overtuigen dat het risico moet worden gecorrigeerd.