Over risico’s wordt, is en zal nog veel geschreven worden. Dat is logisch want een optredend risico levert altijd narigheid op. Een proces dat stagneert, klanten die niet optimaal bediend worden of burgers die fysieke schade oplopen. Een type risico wil ik in deze bijdrage wat nader belichten en wel de bedrijfsprocesrisico's.
Onder bedrijfsprocesrisico wordt verstaan een risico dat afbreuk doet aan het optimaal functioneren van een bedrijfsproces. Onder een bedrijfsproces kun je verstaan een inkoop proces, klachten lijn of het facturatieproces. Het bedrijfsproces kan zich binnen een organisatie onderdeel afspelen, binnen de gehele organisatie of over organisatie grenzen heen. De reikwijdte van het bedrijfsproces bepaald ook de impact van een risico. Vooral ook de te nemen maatregelen om het risico te mitigeren. Een bedrijfsprocesrisico bestaat uit verschillende onderdelen, te weten; het risico zelf, de maatregel, een eigenaar en een prioriteit. Dit laatste onderdeel bepaald vooral de zwaarte van de te nemen maatregel(en).
Het is natuurlijk de vraag waarom risicomanagement van belang is. Iedere verstoring in een bedrijfsproces kan leiden tot omzet verlies, imagoschade of een inefficiënt proces wat leidt tot extra kosten en inspanning om het bedrijfsproces toch goed te laten lopen. Vaak wordt als risico bestrijdende maatregel een workaround ingevoerd. Een workaround is in principe al een verstoring in het bedrijfsproces dat leidt tot extra inspanning en kosten. Dat wil je voorkomen. Niet reactief maar liefst pro-actief. Vandaar dat een bedrijfsprocesrisico-analyse gedurende het project van belang is. Het gevaar welke regelmatig optreedt, is dat een bedrijfsprocesrisico-analyse wordt opgesteld maar dat er vervolgens weinig tot niets mee wordt gedaan. Dat is een risico op zich.
Goed risicomanagement brengt met zich mee dat op gezette tijden de risico’s worden geïdentificeerd, de maatregelen uitgevoerd en de effecten gemeten. Een risicomanager met een actieve houding is een pre. De geïdentificeerde risico’s moeten ook naar de verantwoordelijke gremia worden gerapporteerd. Denk daarbij aan een projectboard of programboard. Om echt focus te houden is het goed om een vertegenwoordiger in een projectboard verantwoordelijk te maken of als eigenaar aan te wijzen voor een bedrijfsprocesrisico.
In de praktijk komt het geregeld voor dat er niets aan bedrijfsprocesrisico-management wordt gedaan. Het gevaar dat op de loer ligt is dat de bedrijfsprocesrisico’s gaan optreden in productie of ten tijde van het live gaan. De herstelkosten kunnen dan vele malen groter zijn dan als het bedrijfsprocesrisico eerder tijdens de ontwikkeling was gedetecteerd.
Hoe breng je de risico’s in kaart? Daar zijn diverse mogelijkheden toe. Bijvoorbeeld het uitvoeren van een CSRA-sessie, het inventariseren van risico’s per bedrijfsproces of een inventarisatie gekoppeld aan de business case. Een andere optie is de risicobepaling onderdeel te maken van een productrisico-sessie als extra invalshoek. Belangrijk bij de risico-inventarisatie is de werkvorm die men kiest. De ervaring is dat de gekozen werkvorm erg bepalend is voor het eindresultaat. Heb je een grote groep dan is de kans groot dat een aantal deelnemers het hoogste woord voert, waardoor andere deelnemers ondersneeuwen. Een oplossing kan zijn om te kiezen voor een carrousel vorm als werkvorm. Dan kan iedereen zijn bijdrage leveren.
Een tip is om niet alleen de bedrijfsprocesrisico’s te inventariseren maar tegelijkertijd ook de bijbehorende maatregelen en de zwaarte van het risico. Op deze manier haal je het maximale resultaat uit de deelnemers aan de sessie maar minstens zo belangrijk. Je creëert direct draagvlak voor de te nemen maatregelen. Immers de mensen hebben zelf de maatregelen bedacht.
De aan te stellen risicomanager moet de maatregelen implementeren en vooral de effecten meten. Is het bedrijfsprocesrisico voldoende gemitigeerd of treden nieuwe bedrijfsproces risico’s op? Onderschat dit deel van bedrijfsprocesrisico-management niet. Op papier kan het gemakkelijk zijn, echter de praktijk is weerbarstiger. ‘Trust, but verify’ is hier het adagium.
Samenvatting
Om grip te krijgen en te houden op de ontwikkeling en implementatie van een nieuw of gewijzigd bedrijfsproces is het voeren van bedrijfsprocesrisico-management een essentieel onderdeel. Niet alleen het identificeren van het bedrijfsprocesrisico is van belang maar vooral de te nemen maatregel. Daarmee mitigeer je het risico en creëer je een situatie dat de uitvoering van een bedrijfsproces ongestoord kan plaatsvinden.
Robuust stukje risico proza. Kan ik me prima in vinden, maar is in mijn ogen ook al wel een beetje standaard materie. Prima natuurlijk en wat je wel ziet is dat het nauwelijks leeft en vooral plichtmatig wordt uitgevoerd om compliant te zijn.
Ik ben in dat licht wel heel nieuwsgierig hoe je waar je over schrijft over de buhne krijgt. Wat zijn de argumenten (buiten het standaard riedeltje) waarmee je de juiste mensen mee krijgt om hier serieus werk van te maken. Is er methodiek waarmee je bijvoorbeeld risico’s kunt vertalen naar geld? Of modelletjes waar managers enthousiast van worden. Of blijft het vooral bij gezond verstand en een stukje opgelegde regeldruk?
Risicomanagement is inderdaad van alledag en zal dat wel blijven ook.
Mijn ervaring is dat de meeste organisaties zijn in te delen in bedrijven die alleen naar Compliance kijken (‘kom ik ermee weg’) omdat het moet en bedrijven die echt kijken naar Governance (‘ben ik in control’) omdat de overtuiging heerst dat men daar een betere bedrijfsvoering mee realiseert.
De laatste groep zal dus vanuit de eigen overtuiging serieus kijken naar hun risk appetite, een gedegen risico analyse op de bedrijfsprocessen uitvoeren en kijken welke maatregelen al getroffen zijn en wat er aan restrisico overblijft. Dat gekoppeld aan de inschatting hoe reëel de kans is dat dit zich voordoet en wat de impact daarvan zal zijn geeft een aardig beeld of dit overeenstemt met het eerder bepaalde risicoprofiel.
En voor de eerste groep: Daar zal het risicoprofiel vanzelf overeenkomen met de risico’s die zich mettertijd manifesteren…
Vooraf duidelijk proberen te maken dat dit wellicht minder verstandig is, is aan deze groep toch niet besteedt.
Zoals de man die van het Empire State Building sprong en bij de tweede verdieping zei: ‘So far so good’
Na het lezen van een zin zoals: ‘…een optredend risico levert altijd narigheid op…’ ben ik na de intro al de weg kwijt. Beetje als de Fear, Uncertainty and Doubt (FUD) als commercieel antwoord op de Knightiaanse onzekerheid van Risk, Uncertainty and Profit. Bedrijfsprocesrisico is er dan ook zo één want het bedrijfsproces van risico management leert dat het economisch onmogelijk is om alle risico’s af te dekken.
Leuke toevoeging van Guus waarbij we denk ik wel een verschil moeten maken in volwassenheid van de organisatie, met name in de start-up fase is alles een risico en wordt er dus minder op de governance gelet. Bedrijfsprocessen worden meestal ook pas interessant als het allemaal groter en complexer wordt en daarmee ook de impact van onwenselijke gebeurtenissen. De vraag is dan ook wat er eerder is, het proces of het risico.