Acceptabel Risico

Binnen de verschillende branches van veiligheid proberen we altijd het risico zo klein mogelijk te maken. Toch lukt dit nooit helemaal, soms omdat risico's simpelweg niet tegen te gaan zijn (zoals een medisch ongeluk op de werkvloer) of omdat het risico niet te voorzien is (zoals bij nieuwe technologieën, lees Race-Condition). De risico's die hierna overblijven noemen we over de verschillende branches ook wel rest-risico's. Acceptabel risico valt ook onder deze paraplu. Het grote verschil bij acceptabel risico ten opzichte van andere vormen van rest-risico is dat acceptabel risico bewust wordt gekozen.

Dat klinkt wellicht heel gek; het kiezen voor een risico. Maar er zijn wel degelijk goede redenen om een risico te accepteren. Een paar voorbeelden zijn:

• risico's welke weinig tot geen impact hebben op de organisatie of de klant
• risico's welke financieel op te vangen zijn, en goedkoper zijn om achteraf af te handelen dan preventief te bestrijden
• risico's waarvoor de organisatie financieel gedekt is
• risico's welke kunnen leiden tot groeikansen

Hoe bepaal je het acceptabele risico:

De naar onze mening beste manier om acceptabel risico te bepalen (losstaand van de hierboven genoemde redenen) is middels een risico analyse. Dit is een tabel waarin de impact van een mogelijk risico wordt afgewogen tegen de kans tot het voor komen van dit risico. Hoe hoger de uitkomst, des te groter het risico. En daarmee dus ook de prioriteit (tijdsgewijs en financieel) tot het voorkomen van dit mogelijke risico.

Risico met een erg lage impact; zoals het tijdelijk uitvallen van een medewerker pc of het verliezen van dienst buiten conversieuren, zou goed kunnen worden opgepakt door middel van een financiële ingreep na het voordoen van het risico. Dit zou dus kunnen betekenen voor een bedrijf dat zij niet de noodzaak zien om hier preventief in te investeren.

Anderzijds zijn risico's met een lage kans van voordoen; zoals een aardbeving, overstroming of terroristische aanslag, voor veel bedrijven ook niet rendabel om te voorkomen. Dit zou vaak onnodig veel geld kosten (zeker voor kleinere bedrijven) en amper iets opleveren. Ook bij grotere bedrijven kan dit worden gezien als een acceptabel risico gezien zij de mogelijkheid hebben om indien dit voorkomt financieel weer op te bouwen.

Kosten tegenover kosten methode:

Dat brengt ons bij de kosten tegenover kosten methode; een methode waar wij, zeker bij kleinere bedrijven, niet altijd even groot fan van zijn. Deze methode hangt een financiële waarde aan elk mogelijke risico. Zo is de uitval van een pc bijvoorbeeld:

• aanschaf nieuwe pc: 1000€
• gemiste werkuren: 30€ x 4
• gemiste conversie: 350€
• totaal kosten risico: 1470€

Ten opzichte van bijv. 1200€ voor een pc met garantiepakket.

Deze methode verteld ons dat het financieel veel aantrekkelijker is om bij een risico als dit een extra garantiepakket aan te schaffen. Fijn voor de verkoop van deze pakketten. Maar andersom stelt het ook dat bij risico's waarbij de preventie duurder is dan de kosten van het risico zelf niet geïnvesteerd hoeft te worden in preventief materiaal.

En juist daar zit een hele grote adder onder het gras. Want hoewel dit op papier heel logisch klinkt betekend dit wel dat er een potje moet zijn voor incidenten, dat risico's continu moeten worden geanalyseerd en dat er geen rekening wordt gehouden met escalerende risico's. En juist daar gaat het voor veel bedrijven mis. Ze houden geen rekening met de risico's, het potje gaat op bij een opschaling, de nieuwe risico's worden niet meegenomen en als er dan eindelijk iets mis gaat, dan staat de beheerder met de moed in zijn schoenen.

Echt grote bedrijven welke geen moeite hebben om met grote bedragen te smijten, die net nog even wat extra winst proberen te pakken door te besparen op kleinere dingen. Die bedrijven kunnen dit risico nemen. Voor alle andere bedrijven stellen wij: leer van deze methode, maak jezelf bewust van de risico's en de kosten, en dek alles wat je reëel in kan dekken goed in. En als je dan toch moet besparen, zorg dan dat er nog enige bescherming in het systeem zit door systemen die met elkaar communiceren of nauw werken niet beide te korten.

Conclusie:

Acceptabele kosten zijn een belangrijk en intrinsiek onderdeel van elk systeem dat veiligheid serieus neemt. Stel ook absoluut duidelijk op wat jouw bedrijf accepteert in risico en in kosten investering. Maak een plan tot het uitrollen van de investering en het sparen van een potje om met rest-risico's om te gaan. Maar val vooral niet in de "als het echt gebeurd kijk ik dan wel" val. Dat kan je erg duur komen te staan.

Wil je graag sparren over de risico's binnen jouw organisatie en welke te accepteren op een veilige en bewuste manier? Neem dan contact met ons op.