Ik kwam deze definitie eind 2009 een eerste keer tegen op het Risk Managers LinkedIn forum, in een discussie over de definitie van risico. Ik begreep er helemaal niets van.
Op dat moment was mijn kennis over risico vooral gebaseerd op een cursus Operational Risk Management die ik 10 jaar eerder in het Southern California Safety Institute (SCSI) gevolgd had. De voormalige USAF Kolonel, een piloot die op dat moment voor Boeing werkte als safety consultant, had mij er al van overtuigd dat risico zowel een positieve als een negatieve component bevatte.
Hij maakte duidelijk dat alles begon met de opdracht, het doel van je missie. Bij het plannen van je missie was het in de eerste plaats belangrijk om te kijken hoe je zoveel mogelijk voordeel kon behalen met de middelen die je tot je beschikking had om in te zetten en ook wat je kunt doen of moet hebben om met meer zekerheid je doel te behalen. Met andere woorden: wat was het risico dat je bereid was te nemen. Pas als dit duidelijk was, kon je bekijken welke bedreigingen en andere risicobronnen je keuzes met zich meebrachten.
Pas als je een basis van een plan had kon je ook beginnen aan het beheren van de risico’s die je zou kunnen lopen bij het uitvoeren van je opdracht. Op die manier je risico managen liet je toe om meer waarde halen uit de inzet van je middelen en verhoogde de kans om je doel met meer zekerheid te bereiken. Het uiteindelijke risico was dan de combinatie van hetgeen je kon winnen en wat je uiteindelijk ook zou kunnen verliezen. Risico ging voor mij dus altijd al over de mogelijkheid op winst of verlies. Het ging niet alleen over mogelijk verlies!
Ik heb toen veel over die nieuwe definitie van risico nagedacht en trachtte vooral te begrijpen wat er eigenlijk achter deze, ogenschijnlijk zeer vreemde, definitie van risico verscholen lag. En, als je het goed bekijkt, is het duidelijk dat de ISO 31000-definitie precies is wat ik altijd al dacht had wat risico was. Het effect van onzekerheid kan negatief zijn, positief of beide tegelijkertijd en deze waarde is gekoppeld aan je doel. Winst is positief en verlies is negatief.
Helaas, veel risicomanagement professionals zien het niet op deze manier. Ze zijn gewend aan een zeer beperkt perspectief op risico en volgen dogma's die alleen met negatieve effecten kunnen omgaan. Omdat dit vertrouwd gebied is willen ze het ook zo houden. Het betekent dat ze uitsluitend bezig zijn met bedreigingen, kwetsbaarheden, zwakke punten en andere mogelijke bronnen van negatieve effecten op doelstellingen.
Deze beperkte kijk op risico's moet worden begrepen vanuit het historisch perspectief dat de positieve kant van risico, gericht op winst, traditioneel het voorrecht van managers is. Zij zijn degenen die hun sterktes en capaciteiten gebruiken om doelen na te streven wanneer kansen en opportuniteiten worden omgezet in doelstellingen.
Niettemin, wanneer een groep mensen zich alleen richt op het nemen van risico's (managers die voor winst gaan) en andere mensen bezig zijn met de risico’s die er gelopen worden (proberen om de verliezen onder controle te houden), is het zeer moeilijk om optimale beslissingen te nemen. Omdat op het eerste gezicht de besluiten die genomen moeten worden om de winst te verhogen, het tegenovergestelde kunnen zijn van de beslissingen die nodig zijn om de kans op negatieve effecten te verkleinen.
Risicomanagers worden daarom vaak gezien als lastposten die managers tegen houden in hun inspanningen om winst te maken. Of erger nog, als er een gebrek is aan coördinatie tussen de twee, kunnen verkeerde beslissingen leiden tot enorme schade aan de organisatie.
Dit soort ongelukkige gebeurtenissen kan echter vermeden worden. ISO 31000 is een leidraad voor organisaties om zo’n silo aanpak en slechte resultaten te voorkomen. Het doel ervan is om het risicomanagement in alle processen en op alle niveaus van een organisatie te integreren. Het zorgt onder meer voor optimale beslissingen, gericht op winst, met daarbij het verminderen van de kans op verliezen. Het is immers zo dat dezelfde principes, raamwerk en proces kan worden gebruikt voor het beheren van beide zijden van risico door meer overleg en dialoog in de organisatie.
Het nemen van risico's bij het najagen van kansen en het lopen van risico's als gevolg hiervan, kan worden beheerd op hetzelfde moment en door dezelfde risico-eigenaren. Dit is wat je toelaat om performant en veilig te presteren.
Risicomanagement toepassingen kunnen worden gebruikt voor de beide kanten van risico.
Ze zijn nuttig voor het beheer van innovatie en groei, voortbouwend op sterke punten, het nastreven van opportuniteiten en benutten van kansen of bij het ontwikkelen van nieuwe ideeën. Maar ze zijn evenzeer nuttig in het omgaan met bedreigingen, gevaren en zwakke punten, die de beoogde vooruitgang zouden kunnen schaden.
Risicobeheer helpt bij het ontwikkelen van een duidelijke visie op doelstellingen en helpt bij het nemen van goed geïnformeerde en dus ook betere beslissingen.
