Artikel

Risicomanagement in één oogopslag dankzij risico heatmap

  • 26 augustus 2019
  • 1 reactie
  • 88 Bekeken

Reputatie 6
  • Infoland Community Manager
  • 117 reacties
Wat doe je als je alle risico’s binnen de organisatie in kaart hebt gebracht? Het is een logische vervolgstap om risico’s in te delen naar de kans dat ze voorkomen en de impact die het op dat moment heeft. Hiervoor zijn verschillende methodes, waarvan de risico heatmap een veel gebruikte is. Deze wordt ook wel de risicomatrix genoemd. Maar hoe werkt een risico heatmap en waar moet je op letten?

Risico’s: van identificatie via classificatie naar risicomanagement

Een organisatie die aan de slag gaat, of is gegaan, met risicomanagement, komt er uiteindelijk bij uit: risicoclassificatie. Het identificeren van risico’s is één ding, maar vervolgens moet er ook bepaald worden wat je met die risico’s gaat doen.

Weinig organisaties hebben de tijd, het geld of zelfs de zin om élk risico te bestrijden. Vaak is dit ook niet nodig. Risico’s die weinig voorkomen, risico’s die weinig impact hebben of risico’s die beide kenmerken hebben, vereisen eigenlijk weinig aandacht. Maar wat doe je met risico’s die wel vaker voorkomen? Of die een grote impact hebben? Die risico’s ga je voorzien van een score zodat je het risico vervolgens kunt gaan managen.



De risico heatmap

Een tool om de geclassificeerde risico’s in kaart te brengen, is een risico heatmap. Deze wordt ook wel de risicomatrix genoemd en bestaat uit een veld met twee assen. Op de horizontale as staat de waarschijnlijkheid. Vaak wordt dit ingedeeld in drie of vijf classificaties, variërend van zeer onwaarschijnlijk tot zeer waarschijnlijk of weergegeven in percentages. Op de verticale as wordt de impact geduid, wederom meestal in drie of vijf classificaties. Hier kun je denken aan kwalificaties als zeer laag tot zeer hoog of minimaal tot catastrofaal.
Een heatmap kan zeer basic zijn, maar de classificaties kunnen ook meer gedetailleerd beschreven worden. Hoe duidelijker de beschrijving, hoe beter een risico geclassificeerd kan worden. Zorg dat de assen zo ingedeeld zijn dat in de ene hoek (bijvoorbeeld linksonder) zeer onwaarschijnlijke risico’s samenkomen met een zeer lage impact, en in de tegenoverliggende hoek (in ons voorbeeld dus rechtsboven) zeer waarschijnlijke risico’s samenkomen met een zeer hoge impact.

Vervolgens kun je alle risico’s gaan plotten. Bepaal dus per risico in welk vakje (plot) deze het beste past. De vakjes kun je door middel van kleuren nog een duidelijkere betekenis meegeven: van groen (linksboven) via geel en oranje naar rood (rechtsonder) bijvoorbeeld. Op die manier zie je in één oogopslag welke risico’s aandacht behoeven en welke minder of helemaal niet.


De valkuilen van een risico heatmap

Het klinkt redelijk eenvoudig, al gaat er misschien best wat werk in zitten: je categoriseert je risico’s en ziet daarna, door middel van de kleuren, in één oogopslag waar je mee aan de slag moet. Maar aan het gebruik én het invullen van een heatmap zitten ook enkele haken en ogen. Want hoe leg je honderden risico’s vast in een matrix van 25 vakjes? En hoe classificeer je die goed? Oftewel, een risico heatmap kan behoorlijk complex worden, ook al kies je voor
een basic variant.

Laten we beginnen met het aantal risico’s. Je kunt natuurlijk élk potentieel risico gaan benoemen. Maar, zijn die allemaal écht van toepassing binnen de organisatie? Je kunt dit ondervangen door risico’s te beschrijven vanuit een doel. Dit kan een letterlijk doel zijn binnen de organisatie, een afdeling of team, maar ook een taak (die succesvol uitgevoerd moet worden). Risico’s zijn de zaken die in de weg kunnen staan bij het behalen van een doel. Door het benoemen van risico’s op deze manier aan te pakken, krijg je je doelen weer helder op je netvlies én werk je enkel met risico’s die ertoe doen. Hopelijk kun je zo het aantal risico’s om te plotten aanzienlijk terugbrengen.

Dan de classificatie. We willen je graag de gouden tip geven hoe je een classificatie altijd goed doet. Helaas bestaat deze niet, voor zover wij weten. Want hoewel het woord classificatie doet geloven dat het een objectief proces is, is het dat in dit geval vaak niet. De bepaling of iets heel vaak, vrijwel nooit of iets ertussenin, voorkomt, blijft meestal gissen. Ook impact is een subjectief begrip, al zou je daar nog een waarde, bijvoorbeeld in de vorm van geld, aan kunnen hangen. Maar kun je voorspellen hoeveel gewonden er vallen bij een incident bijvoorbeeld? Niemand heeft een glazen bol en kan in de toekomst kijken. De classificatie gebeurt dus vaak op gevoel, ervaring en aannames. Een andere valkuil bij het classificeren kan zijn dat je je blind gaat staren op de classificatie. Dat je twijfelt of je het wel goed inschat, of dat je een classificatie mede laat bepalen door de te nemen maatregelen bijvoorbeeld. Vooral omdat classificatie een subjectieve taak is, kun je makkelijk bij elk risico te lang stil gaan staan, waardoor het maken van een risico heatmap te lang duurt en je misschien nooit tevreden bent.


De kracht van een goede risico heatmap

Gelukkig kan een goede risico heatmap, die je creëert als je stilstaat bij de valkuilen en daar níet instapt, je ook veel bieden. Overzicht over welke risico’s (onmiddellijke) aandacht behoeven bijvoorbeeld. Daarnaast kun je als organisatie met een goed ingevulde matrix volwassen worden in risicomanagement. Het geeft je de kans om als riskmanager te laten zien dat je van toegevoegde waarde bent. Want zeg nu zelf: welke manager of directeur vindt het niet prettig om kort en bondig te horen wat er gedaan moet worden. Leg hem, of haar, de heatmap voor en bespreek je verbeterplannen. Je komt met een risico heatmap goed voorbereid in zo’n bespreking en daaarmee kun je impact maken.

Uiteraard bestaat risicomanagement uit méér dan alleen een risico heatmap. Een risico heatmap is de tool die je op weg helpt binnen risicomanagement.

We zijn benieuwd: hoe zetten jullie een risico heat-map in? Zijn bovenstaande voordelen en valkuilen herkenbaar?

Tip: Wil je weten hoe je met iProva een risico heatmap kan maken? Bekijk dan dit topic.

1 reactie

Reputatie 4
Badge +1
Een heatmap kan vooral over de jaren heen goed duidelijkmaken wat er gebeurt. Of risico's ook werkelijk door maatregelen naar de linkder onderhoek te dwingen zijn.

De afgelopen jaren is echter wel in veel literatuur aangeduid dat het gebruiken van een risicomatrixes eigenlijk niet de juiste aanpak is voor het stellen van prioriteiten.

Zie b.v. The Risk of Using Risk Matrices door Philip Thomas, SPE, Reidar B. Bratvold, SPE, University of Stavanger & University of Texas.

Een prima manier om een globaal overzicht te verkrijgen dus, maar niet de harde leiddraad die veel managers willen aangrijpen. Goed dat jullie hier ook aandacht aan besteden in dit artikel.

Reageer