Risicomanagement is het identificeren en kwantificeren van risico's (bijvoorbeeld in een project) en het vaststellen van beheersmaatregelen. Met beheersmaatregelen worden activiteiten bedoeld waarmee de kans van optreden of de gevolgen van risico's worden beïnvloed.
Risico wordt vaak als volgt "gedefinieerd":
- Risico = kans x gevolg
De kans wordt voorgesteld in een percentage, als het gemiddeld aantal keer dat het zal plaatsvinden, doorgaans op jaarbasis. Een kans van 1% betekent dan dat het statistisch gezien eens in de 100 jaar zal voorkomen.
Het gevolg is de verwachte waarde die wordt verloren bij het optreden van dit risico. Om in risico's te kunnen rekenen is het van belang om alle gevolgen om te rekenen naar kosten. Imagoschade kan bijvoorbeeld worden omgerekend naar het verlies aan omzet dat optreedt door een slechter imago en daarmee minder klanten en orders.
Een risico is groter wanneer de kans van optreden en de gevolgen van optreden groter zijn. Een groot gevolg gecombineerd met een minimale kans wordt in het algemeen als niet belangrijk beschouwd, net als een grote kans met een minimaal gevolg. Afhankelijk van de kans en het gevolg kan een risico op 4 manieren worden aangepakt:
- Voorkomen: één of beide van de factoren kans en gevolg wegnemen;
- Verminderen: één of beide van de factoren kans en gevolg afzwakken;
- Uitbesteden: risico's onderbrengen bij verzekeraars;
- Accepteren: wanneer het risico kleiner is dan wat van tevoren vastgesteld is als acceptabele verliezen voor de organisatie.
Zo kan het risico dat een organisatiedoelstelling niet wordt gerealiseerd worden verminderd door de juiste beheersmaatregelen in het specifieke proces(sen) in te regelen en bijvoorbeeld met de reguliere managment-informatie te bewaken ("dashbord"). Mocht het risico zich dan openbaren, wordt dit tijdig onderkend en kunnen corrigerende maatregelen in gang worden gezet met beperking van de uiteindelijke schade (gevolg).
Risicomanagement kan op elk gebied worden toegepast. Interim4all beschikt over een intergraal risico overzicht waarin minimaal 80% van uw risico's al worden onderkend. De overige 20% specifieke risico's kunnen op verschillende manieren in kaart worden gebracht. Voorbeelden hiervoor zijn om dit te doen op basis van interviews en deze integraal te gaan wegen, de zogenaamde stemkasten, of gebruik te maken van een webbased applicatie. Verder integreert naar onze mening risicomanagement zich met kwaliteitsmanagement. Verder zijn er risicomodellen beschikbaar zoals het COSO-model.
Risicomanagement is door de vele toepassingsgebieden een soort "container" begrip. Wij gaan bij onze producten of dienstverlening uit van het beoogde doel c.q. opdracht: zekerheid verkrijgen van het eindresultaat. Enkele voorbeelden uit onze praktijk:
* Projecten: zijn de risico's in het projectplan op voldoende wijze beschreven en onderbouwd met de beoogde beheersing? Risico's zoals de geschetste kosten, doorlooptijd en kwaliteit.
* Proces (her)inrichting: hoe wordt de kwaliteit van het eindproduct bewaakt, zijn de beheersmaatregelen in het proces wel de juiste en/of van deze tijd?
* SAS70: kan ik een klant hiermee voldoende zekerheid geven dat ik mijn dienstverlening op voldoende niveau beheer?
* SOx: voldoe ik nog aan de gestelde eisen in mijn proces, zoals het voldoende hanteren van mijn beheersmaatregelen?
* Managementinformatie: is de ontvangen informatie juist en/of stuurt u op de juiste prestatie-indicatoren?