Paneldiscussie: ‘Risicomanagement, voor iedereen?’
Met SPIE Belgium en OASEN begeleid door Marieke Kessels (Infoland)
Onze CEO, Marieke Kessels, gaat in deze sessie de risicodialoog aan met Jeroen Vercauteren (QSE manager bij SPIE Belgium) en Peter van der Vlies (Adviseur risicomanagement bij OASEN) : klanten van Infoland die tevens experts zijn op het gebied van risicomanagement.
Want hoe zorgen zij ervoor dat risicomanagement goed is geïmplementeerd binnen hun organisatie? Welke uitdagingen hebben ze daarbij overwonnen? Wie waren er actief betrokken in het proces? En wat is voor hen de toegevoegde waarde van zowel het risicomanagementproces als het risicomanagementsysteem? Daar kom je tijdens deze sessie achter!
De geschreven samenvatting vind je terug onder de opname.
Samenvatting
Introductie
Hoe zorgen SPIE Belgium en OASEN ervoor dat risicomanagement goed is geïmplementeerd binnen hun organisatie? Welke uitdagingen hebben ze daarbij overwonnen? Wie waren er actief betrokken in het proces? En wat is voor hen de toegevoegde waarde van zowel het risicomanagementproces als het risicomanagementsysteem?
Peter gaat dieper in op wat OASEN doet en wat risicomanagement voor hen betekent. Zie ook de referentiecase: https://zenya-software.com/referenties/oasen/. Jeroen (SPIE Belgium) bekijkt de risico’s op het gebied van veiligheid (grootste deel), milieu en kwaliteit. Marieke legt een aantal stellingen voor aan de panelleden.
Verdieping onderwerp
Stelling: Op welke risico’s richt jouw organisatie zich het meest?
Er komt duidelijk naar voren (via de Menti app) dat het vooral gaat om operationele risico’s, maar er wordt ook goed gestemd op de strategische risico’s. Die laatste worden belangrijker. Wat Peter betreft zijn deze even belangrijk.
Maar hoe zit het dan met de aanpak? ‘Processen, aanpak? Wat zijn de verschillen?’ Vraagt Marieke zich af. De strategische risico’s doet Peter vooral met het management. De operationele risico’s behandelt hij juist met de medewerkers zelf. Peter begeleidt dit zodat er geen gigantische lijsten aan risico’s ontstaan. Hij brengt hier een lijn in en probeert de grootste risico’s eruit te halen. Bij OASEN is er een strikte definitie van een risico. Risicomanagement binnen OASEN is gekoppeld aan een doel.
Stelling: Wat is binnen jullie organisatie de grootste uitdaging als het gaat om risicomanagement?
Hier komen 74 antwoorden op. Marieke bekijkt de antwoorden samen met Peter en Jeroen. Bijvoorbeeld: communicatie, commitment uit de organisatie, eigenaarschap, van Excel naar RISK,… Jeroen haakt aan op ‘communicatie’, dit is bij zijn organisatie heel herkenbaar: vooral het gebrek aan communicatie.
Communicatie gaat over bewustzijn en awareness. Het creëren van risicoanalyses op topniveau is heel leuk, maar als het op de werkvloer niet gedragen wordt, is dat op zich een risico. Wat je wilt moet je dus ook geïmplementeerd krijgen. Dat gaat over communicatie en dezelfde taal spreken, vindt Jeroen. Je moet luisteren naar de mensen.
Hoe is risicomanagement ingebed in de besluitprocessen van OASEN? Peter geeft aan dat financiën vaak de doorslag geven bij het management. Maar Peter probeert de risicodialoog ook in die gesprekken mee te nemen. De goedkoopste oplossing is niet per se de beste, bijvoorbeeld door met veel partners samen te werken of een technologie die niet bewezen is. Zo kan het zijn dat een product dat duurder is uiteindelijk goedkoper blijkt te zijn. Het risicocomponent moet dus meegenomen worden in de besluitvorming. Het is dan een manier van denken, een mechanisme, dat een plek krijg in structurele besluitvormingsprocessen.
Hoe gaan jullie te werk?
Operationele risico’s (Jeroen): we kijken eerst wat de gevaren zijn, wat kan er mislopen? Wat kunnen we doen om te borgen dat het niet misloopt? We zetten eerst de gevaren uit. Als je het berekent en je doet niets (veiligheid): dan is dat bijvoorbeeld een dodelijk ongeval. Welke maatregelen kun je nemen dat je gevaar geen risico kan worden? Denk aan vallen van hoogte, brandwonden, etc. Dit is bij ons een lijst die altijd wordt aangevuld. We kijken elk jaar of deze nog up-to-date is.
Denk aan werken met asbest: vijftien jaar geleden was dat echt een gevaar, vandaag de dag komt het gelukkig niet meer vaak voor óf we weten het nu op voorhand. Dit was dus eerst een groot onderdeel van onze operationele veiligheid, nu een stuk minder. Marieke vraagt zich af of er ook risico’s af gaan. Jeroen zegt van niet, er komen er eigenlijk alleen maar bij. Jeroen wil hier wel meer naartoe: als ze niet meer op een bepaalde manier werken, moet het risico eruit.
Strategische risico’s (Peter): We vullen een matrix in: welk risico is waarschijnlijk om te gebeuren? Maar we kijken ook naar de gevolgklassen: bijvoorbeeld financiën. Dit gebruiken we als startpunt, bijvoorbeeld een ernst van 3 betekent X. Twee keer per jaar halen we er een contextanalyse bij. Hoe hoog schatten we een risico in op basis van de matrix? Is het een acceptabel risico of niet? Dit doen we twee keer per jaar: evalueren en kijken welke risico’s er nog bij komen.
Bij projecten ziet Peter dat er wel risico’s uit de lijst vallen, omdat het project is afgerond. Peter herkent ook wat Jeroen zegt, er komen meestal meer risico’s bij dan dat er geschrapt worden.
Dilemma: wat vinden jullie belangrijker: een risicodialoog of risicoanalyse?
Hier komt een duidelijke winnaar naar voren in de app: risicodialoog (115) tegenover risicoanalyse (18).
Volgens Peter kunnen deze twee niet los van elkaar staan. Ook bij SPIE zijn ze onlosmakelijk aan elkaar verbonden. Als je geen dialoog toevoegt aan de analyse, heb je alleen een mooi rapport. De dialoog voedt de analyse, maakt deze krachtiger en zorgt ervoor dat de uitkomst van de analyse gecommuniceerd kan worden.
Stelling: is binnen jouw organisatie de risicobereidheid bekend?
Wat deelnemers aan deze sessie vooral antwoorden is ‘deels’. Iemand uit de zaal (van een ouderenzorgorganisatie) geeft aan dat risicobereidheid van hun organisatie wel bekend is bij het management, maar niet op de werkvloer.
Als de risicobereidheid goed geduid is, is het nodig om te laten zien wat acceptabel is en wat niet. Ook om aan te geven wat over de grens gaat. Peter: het begint met spreken over risicobereidheid. Als je dit niet met elkaar besproken hebt, dan is alles een risico óf heb je geen risico’s. Het is een moeilijk iets om concreet te maken.
Dilemma: risicoscore of risicostrategie?
Ook hier is een duidelijke winnaar: risicostrategie. Volgens de deelnemers in de zaal zou hier het accent op moeten liggen. Peter kan het een niet los zien van het andere; risicoscore is misschien wat meer van vroeger (het plekje in de matrix). Ook bij SPIE zien ze dit niet los van elkaar. De risicoscore helpt hen om te prioritiseren van risico’s. Die score is input voor het vormen van een strategie.
Het kan volgens Marieke waardevol zijn om naar een set van risico’s te kijken: bijvoorbeeld binnen een bepaald domein of gekoppeld aan processen.
Verdieping resultaat
Naast goede risicoanalyses en het in kaart brengen van risico’s, is het essentieel om hierover de dialoog aan te gaan. Niet alleen met het management, maar met de hele organisatie. Medewerkers moeten weten wat de risicobereidheid van de organisatie is. Nadenken en met elkaar spreken, communiceren zonder al te veel ingewikkeld jargon.
De sessie werd afgesloten met enkele tips:
- Peter: Ook eisen steeds meer partners waarmee organisaties samenwerken meer van risicomanagement. Je moet dit als organisatie niet doen voor een ander, maar dit wordt wel steeds belangrijker. Je moet er als bedrijf iets aan hebben, het gaat erom dat je ook doet wat je zegt. Alle risico’s die je onderweg tegenkomt moet je kunnen beheersen.
- Jeroen: De NIS2 komt eraan; je kunt geen risico lopen om je hier niet op voor te bereiden. Probeer risico’s als opportuniteit te zien, als een kans. Mis de trein niet!
Deze samenvatting is geschreven door
Heb je hier nog vragen over? Stel ze dan gerust hieronder.