Wanneer is een risico-inventarisatie compleet?
De inventarisatie is misschien wel de belangrijkste stap bij risicomanagement. Als dit niet in orde is, zijn de vervolgstappen niet meer effectief. Al missen we bij de inventarisatie de belangrijkste risico's, dan worden de wel geïnventariseerde risico’s waarschijnlijk goed gemitigeerd en opgepakt. Dit heeft als gevolg dat we denken dat we alles op orde hebben. Dit resulteert in onbewuste onbekwaamheid, misschien wel het grootste risico bij inferieur risicomanagement.
Dus de belangrijke vraag is:
“Hoe weten we dat we volledig zijn en alle risico's in kaart hebben gebracht?”
Wanneer is het goed genoeg?
In veel opleidingen wordt aan risicomanagers verteld dat je één ding zeker weet, namelijk dat je nooit echt alle risico’s kent. Ten eerste zou je dat niet eens willen. Minder relevante risico’s inventariseren levert te weinig toegevoegde waarde op. Ten tweede zullen de ‘unknown unknowns’ niet benoemd kunnen worden. Ook willen mensen de ‘known unknowns’ niet benoemen. Daarnaast lukt het je zeer waarschijnlijk niet om de zwarte zwanen te vinden.
Toch blijft deze vraag gerechtvaardigd:
“Hoe weet je dat alle relevante risico’s benoemd zijn?”
Een oplossing
Zodra de risico-inventarisatie is afgerond voeren we een laatste validatie-inventarisatie uit. Als uit deze volledig objectieve maar beperkte inventarisatie (bijvoorbeeld aan de hand van een interview) geen nieuwe bevindingen komen, dan kunnen we stellen dat we compleet zijn.
Maar ook deze techniek is niet altijd voldoende bevredigend. We blijven immers als mens 'black swans' maar moeilijk herkennen en we blijven blind voor risico's die soms duidelijk zichtbaar zijn.
Meer oplossingen?
Hoe zorg jij ervoor dat je compleet bent?
Geef hier onder aan hoe jij er voor zorgt dat je compleet bent. Heb je tips en tricks? Zo helpen we elkaar risicomanagement nog beter uit te voeren. Help mee!
Bron: Redactie Riskworld
3 gepubliceerde reacties
Natuurlijk helpen risicoinventarisaties die elders gedaan zijn (verrassend vaak ook online te vinden) of die je zelf deed. Ook zijn er risicolijsten per branche die ik gebruik.
In mijn studie kreeg ik ooit een riskmap van Deloitte waar álle risico's op staan. Goed voor de beeldvorming. Ook de BIR (Branche Informatie Rabobank) geeft een heel goed beeld. In z'n volledigheid niet voor de gewone wereld te lezen, maar de kennisapp van de Rabo geeft ook een aardig inzicht.
Dit klinkt als een beetje grasduinen, besef ik terwijl ik dit typ.
Hoe doen jullie dit?
9 gepubliceerde reacties
Een garantie dat alles in kaart is gebracht (inclusief de Black Swans) is weliswaar onmogelijk, maar een extra gesprek/interview na de inventarisatie kan de bevestiging geven dat alles in kaart is gebracht. Deze validatie zou voldoende comfort moeten geven om te kunnen zeggen dat de inventarisatie compleet is.
3 gepubliceerde reacties
Hierboven hebben we het vaak over 'geschreven' informatiebronnen. Robert geeft een indicatie over het aantal deelnemers dat je nodig hebt. Wat vinden jullie? Hoe moet het team die de risico's noemt eruit zien? Kan ik ook met een 2 koppige directie een risicoanalyse doen?