Safety and risk
1. Geschiedenis van risico en risicomanagement....................................................................4
1.1 geschiedenis van risicomanagement.................................................................................4
1.2 VUCA-wereld..................................................................................................................... 4
1.3 voorraadketenbeheer.........................................................................................................6
1.4 opgaven............................................................................................................................. 6
1.5 begrippen...........................................................................................................................6
2. Basisbegrippen van risicomanagement................................................................................7
2.1 risico.................................................................................................................................. 7
2.2 risicomanagement............................................................................................................. 7
2.2.1 risico-eigenaar.......................................................................................................... 8
2.2.2 Three lines of defence 3LOD.................................................................................... 8
2.2.3 besturen … wat is dat?............................................................................................. 8
2.2.3.1 missie...............................................................................................................8
2.2.3.2 visie..................................................................................................................8
2.2.3.3 strategie........................................................................................................... 9
2.2.4 nieuwe manier van besturen.....................................................................................9
2.3 soorten risico’s................................................................................................................. 10
2.4 oorzaak en gevolg........................................................................................................... 10
2.5 opgaven........................................................................................................................... 11
2.6 begrippenlijst....................................................................................................................12
3.1 risicomanagementproces.................................................................................................15
3.2 risicomanagement raamwerken.......................................................................................15
3.2.1 overeenkomsten en verschillen.............................................................................. 16
3.2.1.1 overeenkomsten............................................................................................ 16
3.2.1.2 verschillen tussen raamwerken......................................................................16
3.2.2 onderdelen van raamwerken en richtlijnen............................................................. 17
3.2.2.1 PDCA-cyclus (basis van alle raamwerken)....................................................17
3.2.2.2 mandaat en betrokkenheid............................................................................ 17
3.2.2.3 status van risicomanagement bepalen aan de hand van Risk Maturity model..
17
3.2.3 voorbeelden raamwerken....................................................................................... 18
3.2.3.1 raamwerk COSO............................................................................................18
3.2.3.2 raamwerk ISO310000.................................................................................... 18
3.2.3.3 raamwerk FERMA..........................................................................................19
3.2.3.4 raamwerk CAS...............................................................................................19
3.2.3.5 raamwerk Basel en Solvency.........................................................................19
3.3 opgaven........................................................................................................................... 19
3.4 begrippenlijst....................................................................................................................20
4. Risicomanagementbeleid en doelstellingen....................................................................... 22
1
, Safety and risk
4.1 risicomanagementbeleid..................................................................................................22
4.2 organisatie en risicomanagement doelstellingen.............................................................24
4.3 opgaven........................................................................................................................... 25
4.4 begrippen.........................................................................................................................26
5. Risico-identificatie.................................................................................................................29
5.1 identificeren van risico’s...................................................................................................29
5.2 CRSA-methodes bij identificeren van risico’s.................................................................. 29
5.3 checklists en modellen bij identificeren van risico’s......................................................... 30
5.3.1 SWOT-analyse........................................................................................................30
5.3.2 interne sterktes/zwaktes......................................................................................... 30
5.3.3 externe kansen/bedreigingen..................................................................................31
5.4 opgaven........................................................................................................................... 31
5.5 begrippen.........................................................................................................................32
6. Risico-inschatting en beoordeling.......................................................................................34
6.1 inschatten van risico’s......................................................................................................34
6.2 beoordelen van risico’s.................................................................................................... 34
6.2.1 beoordelen door verwachte-waarde methode........................................................ 35
6.2.2 beoordelen door kinney-methode........................................................................... 35
6.2.3 registreren van risicobeoordeling............................................................................36
6.3 risico’s is een risicomatrix................................................................................................ 36
6.3.1 opstellen van een risicomatrix.................................................................................36
6.3.2 aflezen risicohouding bij een risicomatrix............................................................... 36
6.3.3 beperkingen van risicomatrix.................................................................................. 37
6.4 opgaven........................................................................................................................... 37
6.5 begrippen.........................................................................................................................37
7. Risicoreacties en beheersmaatregelen............................................................................... 40
7.1 risicoreacties....................................................................................................................40
7.1.1 reageren op risico’s.................................................................................................40
7.1.2 kiezen van risicoreacties...............................................................................................40
7.2 opstellen van beheersmaatregelen..................................................................................41
7.2.1 preventieve en repressieve beheersmaatregelen...................................................41
7.2.2 hard en soft controls............................................................................................... 41
7.2.3 kiezen van beheersmaatregelen.............................................................................41
7.3 opgaven........................................................................................................................... 42
7.4 begrippen.........................................................................................................................42
8. Monitoring, communicatie en verslaglegging.................................................................... 45
8.1 monitoring........................................................................................................................ 45
8.1.1 kritische indicatoren................................................................................................ 45
8.1.2 verband tussen indicatoren.....................................................................................45
8.2 opgaven........................................................................................................................... 46
8.3 begrippen.........................................................................................................................46
2
, Safety and risk
9. Risicomanagement en logistiek........................................................................................... 48
9.1 risicomanagement en logistiek........................................................................................ 48
9.1.1 voorbeeld Cargill in Zaandam................................................................................. 48
9.1.2 logistieke trends...................................................................................................... 49
9.1.3 risicomanagement en logistiek in vogelvlucht.........................................................49
9.2 risico’s en verstoringen in de logistiek............................................................................. 50
9.2.1 interne en externe risico’s binnen supply chain...................................................... 51
9.2.1.1 interne risico’s................................................................................................ 52
9.2.1.2 externe risico’s............................................................................................... 52
9.2.1.3 omgevingsrisico............................................................................................. 53
9.3 risicomanagement & -analyse......................................................................................... 53
9.3.1 risicomanagement...................................................................................................53
9.3.2 risicoanalyse........................................................................................................... 53
9.3.2.1 digital twin: 4 stappen.................................................................................... 54
9.3.2.2 FMEA (andere methode voor risico-analyse)................................................ 54
9.4 resilience: strategieën en raamwerken............................................................................ 54
9.4.1 resilience raamwerken............................................................................................ 55
9.4.1.1. Raamwerk 1: Christopher & peck................................................................. 55
9.4.1.2 raamwerk 2: sheffi en rice.............................................................................. 55
9.4.1.3 raamwerk 3: cocchiara...................................................................................56
9.5 lessen uit de praktijk........................................................................................................ 56
3
, Safety and risk
1. Geschiedenis van risico en risicomanagement
1.1 geschiedenis van risicomanagement
● 16-17e eeuw: Japanse rijstboeren spraken af met verkopers om vooraf vastgestelde
hoeveelheden rijst te verkopen tegen vooraf vastgelegde prijs
○ Interessant voor de boer: weet op voorhand dat rijst wordt afgenomen en welke
omzet gerealiseerd wordt → minder overschot of tekorten
■ risico rond hoeveelheid en risico rond prijs vermeden
○ Interessant voor koper: weet op voorhand de kosten
■ Risico dat rijst meer gaat kosten vermeden
● Later: risicomanagement sterk ontwikkeld rond verzekeringen
○ Rond 1980 gespecialiseerd in financieel risicomanagement
○ Jaren 90: diverse schandalen kwamen aan het licht die niet alleen konden
toegewezen worden aan financieel risico
■ Door deze schandalen kreeg risicomanagement binnen organisaties een
bredere benadering dan alleen binnen de financiële afdeling.
● Risicomanagement toegepast bij meerdere afdelingen -> start van
enterprise risk management ERM
1.2 VUCA-wereld
● risicomanagement : focus verschuiving van financiële → strategische → operationele
met externe factoren
● Veranderingen in de wereld volgen elkaar snel op:
○ klimaatrisico’s : overstromingen, stormen, hitte, …
○ Cyber security risk: risico dat data in de verkeerde handen valt
○ Hacker attacks: financiële / persoonlijke data
○ Internet of things risks:
■ 4 basisregels voor loT-security:
● Implementeer geen toestellen waarvan software, wachtwoorden of
firmware niet kunnen worden geüpdatet
● Verplicht bij installatie is het wijzigen van de standaard
gebruikersnaam en het standaard wachtwoord
● Gebruik unieke wachtwoorden per toestel, zeker wanneer het met
het internet is verbonden
● update/patch altijd naar de laatste software- en firmware versies
om kwetsbaarheden te beperken
○ Just-in-time (JIT- risks) :
■ Voordelen: afvalreductie, inventory cost reductie, hogere productie
efficiëntie, klantentevredenheid
■ Nadelen: je bent zo sterk als je zwakste schakel
4
, Safety and risk
■ Voorbeeld: productie valt stil bij bv MC Syncro → Volvo cars gent moet
wachten om verder te kunnen produceren
○ Single supplier risks : risico dat je rekent op maar 1 leverancier voor alle
grondstoffen
■ Voorbeeld: je kan het risico lopen als je als winkel maar 1 kledingmerk
verkoopt omdat dit populair is, maar dit failliet gaat. Dan valt je leverancier
weg en moet je op zoek gaan naar een nieuwe leverancier om wel nog te
kunnen verkopen en zelf ook niet te moeten stoppen.
○ Ben & Jerry's risk : als marketingstunt vertelden ze aan de consument dat er een
soort chemisch product aanwezig was in de ijsjes, uiteraard was dit niet waar
maar ze hebben zich hiervoor achteraf moeten excuseren bij de consument.
○ Brexit: moeilijker om als toerist op vakantie te gaan naar Verenigd Koninkrijk en
omgekeerd, maar ook het leveren en ontvangen van goederen in beide
richtingen verloopt niet meer zo simpel.
○ pandemie : Covid 19 zorgde voor een goede test bij heel veel bedrijven op vlak
van risicomanagement
○ Risico van terrorisme
● Tegenwoordig wordt er met al deze risico’s gesproken over een vuca-wereld
● Term die afkomstig is uit het leger
● Voor een organisatie is het steeds van meer belang om vanuit risicomanagement
perspectief in te spelen op de snellere veranderingen in de omgeving
Volatility Uncertainty Complexity Ambiguity
Snelheid van Onzekerheid rondom Complexiteit van Onduidelijkheid over
veranderingen gebeurtenissen omgeving oorzaak en gevolg
5
, Safety and risk
1.3 voorraadketenbeheer
● Ontwrichting van de bevoorradingsketen
○ Heb de juiste partners
○ Juiste voorspellende analyses
○ Flexibele bevoorradingsketen
● Supply chain risk management
○ Bedrijfsstrategieën (in missie/visie ingebed) implementeren om dagelijkse en
uitzonderlijke risico’s (VUCA) in de wereldwijde bevoorradingsketen te beheersen
met als doel de kwetsbaarheid te reduceren en continuïteit te verzekeren
1.4 opgaven
Waar staat ERM voor en wat houdt de term in?
● ERM staat voor enterprise Risk Management (ook wel organisatie risicomanagement
genoemd) en is de integrale benadering van risicomanagement binnen een
organisatie
1.5 begrippen
Enterprise risk Een integrale benadering van risicomanagement binnen een
management ERM organisatie
VUCA-wereld Een acroniem voor de huidige veranderende wereld:
● volatility = snelheid van veranderingen
● Uncertainty = onzekerheid rondom gebeurtenissen
● Complexity = complexiteit van de omgeving
● Ambiguity = onduidelikheid over oorzaak en gevolg
Extrapoleren Het naar de toekomst doortrekken van een bepaalde
ontwikkeling
Silobenadering Het uitvoeren van risicomanagement binnen diverse onderdelen
van de organisatie, waarbij de samenhang tussen de
onderdelen ontbreekt
6
, Safety and risk
2. Basisbegrippen van risicomanagement
2.1 risico
● Risico = onzekere gebeurtenis met meetbare gevolgen voor de doelstelling
○ opgelet : indien niet meetbare gevolgen; spreken we van onzekerheid
● Voorbeelden van doelstellingen:
○ Binnen de 24u na order leveren aan de klant
○ 20 miljoen omzet halen aan einde van het boekjaar
● Voorbeelden risico’s:
○ Corona pandemie breekt uit
○ File op de baan
● Enkel een risico als je een doelstelling hebt, anders een onzekerheid
○ Doelstelling: op school zijn om 8u30 -> risico: je hoort de wekker niet
○ Doelstelling: aanwezig zijn op school maar uur is niet bepaald → onzekerheid als
je de wekker niet hoort
2.2 risicomanagement
● Risicomanagement = het proces waarmee wordt geprobeerd de onzekerheid rond het
behalen van doelstellingen te managen
○ Doel: risico’s minimaliseren om ervoor te zorgen dat doelstellingen behaald
worden
○ Risico’s zijn gebeurtenissen vanwaar men onzeker is of deze gaan plaatsvinden
en waarvan het uiteindelijke gevolg eveneens onzeker is
○ Wanneer men zeker weet of een gebeurtenis wel of niet plaatsvindt is er geen
sprake van risico
○ Risicomanagement kan betrekking hebben op de doelstellingen van individuen,
projecten, processen en organisaties
○ In het dagelijkse leven zijn mensen onbewust bezig met risicomanagement ->
door na te denken over bepaalde keuzes en de mogelijke gevolgen
● “ Het gedrag van individuen binnen de organisatie is bepalend voor de werking van
risicomanagement. Er kunnen regels en procedures worden opgesteld, maar wanneer
deze afspraken vervolgens niet worden nageleefd, hebben de stappen die daarvoor
genomen zijn, vrijwel geen waarde.”
7
, Safety and risk
2.2.1 risico-eigenaar
● Risico-eigenaar = de persoon die verantwoordelijk is voor het behalen van de
opgestelde doelstelling is tevens verantwoordelijk voor het risicomanagement rondom de
doelstelling
○ Lijkt allemaal logisch maar in de praktijk veel ingewikkelder
○ In grote organisaties wordt soms een risicomanager of zelfs een
risicomanagement afdeling aangesteld. → worden ook wel de tweede lijn
genoemd
2.2.2 Three lines of defence 3LOD
● 3LOD-principe is een organisatiestructuur die moet bijdragen aan het versterken van de
risicocultuur, het nemen van verantwoordelijkheid voor het beheersen van risico’s en het
optimaliseren van het geïntegreerd samenwerken.
○ Eerste lijn = eigenaar van de doelstelling en de risico’s, ook wel lijnmanagement
genoemd
○ Tweede lijn = bestaat uit meerdere controlerende functies waaronder
risicomanagers of de risicomanagement afdeling
■ Risicomanagers zouden een ondersteunende, adviserende,
coördinerende en bewakende rol moeten hebben en daarbij beoordelen
of de eerste lijn de verantwoordelijkheid ook daadwerkelijk neemt
○ Derde lijn = interne audit die controleert of de samenwerking tussen de eerste en
de tweede lijn functioneert en velt daarover een objectief en onafhankelijk
oordeel en geeft mogelijkheden tot verbetering
2.2.3 besturen … wat is dat?
2.2.3.1 missie
● Verantwoordelijkheid van de directie
● Lange termijn: 5-10 jaar
● “Waarom doen we dit?”
● “Waar staat de onderneming voor”
● voorbeeld : Walt disney: Make people happy
2.2.3.2 visie
● Middellange termijn: 3-5 jaar
● “Waar gaat de onderneming voor?”
● = realistisch dagdromen: waar willen we staan binnen … jaar
● Voobeeld: google: develop a perfect search engine
8
, Safety and risk
2.2.3.3 strategie
● Kan ook elk jaar, kwartaal, …
● “Hoe gaan we ons droombeeld bereiken?”
○ Voorbeeld: “herstructurering om winstgevend te opereren bij de huidige vraag”
● Alle acties op een rij
● Doelstellingen
○ Tastbare meetresultaten vastleggen om te checken
○ Smart → doelstelling: kenmerken van doelstellingen zijn duidelijk, er worden
geen onrealistische doelstellingen gemaakt
■ Smart: specifiek, meetbaar, acceptabel, realistisch, tijdgebonden
● Verificatie: (tussentijdse resultaten)
○ Bottom-up: verzamelen, verwerken en beoordelen van info
○ Uitvoeren van een beleidsevaluatie
○ Benchmarking
Voorbeeld student:
● Missie: gelukkig worden in het leven
● Visie: schoon huis, vrouw, kinderen, leuke job
● Strategie met doelstellingen: slagen binnen drie jaar, snel starten met een job, op tijd
aan kinderen beginnen (lukt het niet: adoptie (back-up plan)
● Verificatie: op zijn 50e
2.2.4 nieuwe manier van besturen
● Diverse bedrijven doen nog aan silo-denken of deeloplossingen voor risicomanagement:
fouten worden verdeeld volgens de verantwoordelijke afdeling
○ Voor een bepaald risicotype of organisatieonderdeel wordt met een silo
benadering wellicht een optimaal risiconiveau bereikt, terwijl dit voor de
organisatie als geheel mogelijk niet het geval is
● Belangrijk om hele organisatie mee te nemen in het verhaal (operationele en
strategische risico’s) → = integrated risk management
● Oplossing: enterprise risk management: kijken naar de impact van alle organisatorische
risico’s op de doelstellingen
○ Lijnmanager → doelstelling: kosten van aankopen drukken
○ Risk manager → risicoadviseur (ziet alles breeder)
■ Kan niet ingrijpen in business, is niet verantwoordelijk voor fouten (niet de
risico-eigenaar)
■ Wel verantwoordelijk voor eigen doelstellingen (risicomanagement
proces)
○ Lijn en risk manager moeten elkaar helpen
● Good governance: organisatieleden moeten goede voorbeeld geven aan personeel
○ Voorbeeld: leerkracht komt telkens 10 min te laat → leerlingen beginnen ook 10
min te laat te komen
9
, Safety and risk
2.3 soorten risico’s
● Strategische risico’s: risico’s die samenhangen met strategische keuzes van de
organisatie
○ Bestuur heeft missie, visie en strategische doelstellingen vastgelegd
○ Vb chocoladeproducent: focussen op toeristische winkeltjes in verschillende
landen → meeste chocolade wordt gekocht via supermarkt → strategische risico
● Operationele risico’s: risico’s als gevolg van falende interne processen, mensen,
systemen of externe factoren
○ Operationele risico’s kunnen ontstaan door menselijk gedrag/ hierbij kan
ondersheid gemaakt worden tussen zaken waar fouten gemaakt worden
(onbewust onbekwaam gedrag) en zaken waar opzet in het spel is (buwust
onbekwaam gedrag)
○ Vb panne, geen stroom, werkongeval
● Compliance risk: zaken die verbonden zijn aan regels
○ Vb software van auto’s (volkswagen), CE-label voor sommige producten
● Hazard risk: diverse (veelal externe) gevaren zoals natuurrampen en terroristische
aanslagen
○ Vb aanslag, pandemie, tsunami
● Financial risk: onvoorspelbaarheid van financiële ontwikkelingen
● Reporting risk: betrouwbaarheid van verslaggeving
● Downside risk: negatieve risico zoals waardevermindering
○ Negatieve risico’s = bedreigingen
○ statisch risico (= zuiver risico): alleen maar negatief risico
● Upside risk: het positieve risico zoals waardevermeerdering
○ Positieve risico’s = kansen
○ dynamisch risico (= speculatief risico) : risico’s die zowel negatief als positief
kunnen uitvallen
■ Vb. komt te laat tijdens de les (negatief) → gaat op café → komt
toekomstige man/vrouw tegen → positief effect
■ Vb Corona → veel problemen voor vele bedrijven → positieve effect voor
Farmabedrijven, producenten van mondmasker bedrijven
2.4 oorzaak en gevolg
● Om ervoor te zorgen dat de doelstelling behaald wordt, moeten bepaalde activiteiten
worden uitgevoerd
○ Als dit niet wordt gedaan (oorzaak), komt het bepalen van het doel in gevaar
(gevolg)
● Oorzaak
○ Intern: binnen eigen organisatie
■ Micro-omgeving = binnen organisatie
○ Extern:
■ Meso-omgeving: bedrijfstak, stakeholders
10