Emerging risks zijn risico’s die je niet kunt voorzien, maar met behulp van 12 risicofactoren is de organisatie beter voorbereid!
Emerging risks zijn nieuwe en voorheen onbekende risico’s, of bekende risico’s die op nieuwe manieren verschijnen. Bij emerging risks zijn eerder gehanteerde acties veelal niet voldoende om het risico te mitigeren.
De 12 risicofactoren voor het eerst in 2010 door het International Risk Governance Council (IRGC), gevestigd in Zwitserland gepubliceerd.
IRGC stelt dat door het aanpakken van de 12 risicofactoren organisaties zich beter kunnen voorbereiden, want als je deze 12 factoren kent ben je beter in staat om de effecten van risico’s op voorhand te herkennen en daardoor te beperken.
In dit artikel worden 12 contributing factors of 12 risicofactoren van emerging risks beschreven die vaak de aanleiding geven tot nieuwe of onvoorziene risico’s.
De 12 contributing factors
Bewust is de Engelse benaming hier gebruikt. Deze zal je in de literatuur vaker tegenkomen. In dit artikel zal zowel ‘contributing’ als ‘bijdragende’ factor worden gebruikt.
De twaalf ‘contributing factors’ zijn niet beperkt tot emerging risks, vanzelfsprekend zijn deze factoren deels ook terug te vinden in bekende risico scenario’s. Wat deze 12 risicofactoren echter belangrijk maakt is dat deze specifiek zijn beschreven voor emerging risks.
Sommige factoren zullen voor bepaalde organisaties beter te beheersen zijn en er risico beheersende maatregelen kunnen treffen. Terwijl er voor andere organisatie andere factoren beter te overzien zijn.
Je kunt onderstaande factoren beter begrijpen, als je bedenkt dat deze factoren de uitkomst is van een uitgebreide root cause analyse. Dat abstractie niveau is ook nodig, want sommige generieke bijdragende factoren lijken een open deur.
Vanzelfsprekend vragen onderstaande factoren om een basiskennis van natuurkundige en levenswetenschappen, veel interessanter is echter dat men zich realiseert dat een aantal factoren een psychologische, sociale of economische dimensie kennen. Waarbij de sociale wetenschap regelmatig een bijzonder plekje inneemt. Een mooi voorbeeld hiervan is dat leiderschap zich soms niet bezig wilt houden met onzekere toekomstmogelijkheden door de complexiteit van risk preventie of de onzekerheid over de mogelijkheid van financieel voordeel.
Leuke uitdaging voor het team
Probeer zelf eens een lijstje van factoren met je team op te stellen. Dan zal je ervaren dat het een uitdaging is om bronoorzaken te benoemen. Iedereen heeft een ander perspectief op risico’s en vermoedelijk zal het team zeer gedetailleerd bepaalde risico’s beschrijven. Dat zijn echter vaak de bekende risico’s, het onbekende is namelijk moeilijk te voorspellen.
De 12 risicofactoren van IRGC geven een houvast om met je teams eens goed de mogelijke risico’s te bespreken. Maar dan gericht op emerging risico’s.
Het IRGC heeft een uitgebreid onderzoek verricht, maak er dus handig gebruik van. Het helpt je om de emerging risks m.b.v. deze 12 factoren die bijdragen aan risico te maken.
De 12 risicofactoren
De 12 risicofactoren van emerging risks staan in onderstaande afbeelding. Voor deze afbeelding is gebruik gemaakt van Brooks Law. In totaal zijn er 66 lijnen, een feitje om de complexiteit te tonen.
Elk risicofactor kan zelfstandig voorkomen of in combinatie met alle andere risicofactoren. De gehanteerde volgorde is vrij en heeft geen waardeoordeel. Het is een opsomming van bronoorzaken van risico’s, waarbij de impact elke keer verschillend kan zijn. De toelichting op de getoonde 12 risicofactoren volgt nu.
1. Wetenschappelijke onbekendheid
Een onvermijdelijk gegeven is dat onvoorziene risico’s het gevolg kunnen zijn van een gebrek aan inzicht of kennis. Onbekende risico’s zullen onverwacht, onopgemerkt en over- of onderschat kunnen optreden.
De wetenschap heeft niet altijd een antwoord voor elk mogelijk risico. Dus kan de wetenschap niet alles op voorhand verklaren. Risico’s ontstaan namelijk door de werking van de natuurlijke wereld of door menselijke systemen.
Je kunt hier nog wel een onderscheid maken naar onbekende risico’s, waar de wetenschap nog niet over gebogen heeft en wetenschap waarvan men binnen de organisatie nog niet op de hoogte is. Het verschil is evident, wetenschappelijke onderzoeken geven soms (forse) risico’s aan. Maar dan dien je deze als management wel te kennen en naar te handelen.
2. Verlies van veiligheidsmarges
We kennen het verlies van veiligheidsmarges allemaal, alleen zijn we er niet altijd bewust van. Het sleutelwoord is bij de 2e bijdragende factor is interconnectiviteit.
We zien een enorme toename in dat alles met elkaar verbonden is, zowel is sociale- als technische systemen. Daarbij is ook nog de grote wens dat deze systemen steeds sneller gaan werken.
Systemen worden derhalve steeds meer met elkaar gekoppeld, waardoor er steeds minder ruimte is voor veiligheidsmarges, speling of buffers. De koppeling(en) tussen de componenten is ook slechts bij een klein deel mensen bekend.
Een (ver)storing in systemen creëert echter risico’s, door de grote verbondenheid van systemen kan de storing ook op andere plaatsen dan verwacht risico’s naar voren brengen.
Naast snelheid willen we ook nog zeer efficiënt hogere niveaus bereiken. Dit gaat in de moderne wereld steeds vaker gepaard met stress door (werk)druk. Het verlangen naar meer snelheid en efficiëntie verkleint de foutmarge en maakt ons dus kwetsbaar als het misgaat.
Kortom, het risico dat het ergens misgaat neemt toe. Waardoor de waarschijnlijkheid dat er nieuwe risico’s ontstaan ook toeneemt.
3. Positieve feedback
IRGC noemt als derde risicofactor positieve feedback. Dat is m.i. een vreemde bewoording, dus zal eerst de beschrijving gegeven worden.
In systemen waar ‘positieve’ feedback wordt gegeven, zal het systeem reageren op elke verandering of verstoring. Volgens de auteurs heeft positieve feedback de neiging om destabiliserend te zijn en wordt daarmee de waarschijnlijkheid of de gevolgen van een opduikend risico vergroot.
Wellicht is het handiger om in dit kader de term vicieuze cirkel of negatieve spiraal te gebruiken, zowel negatieve als positieve cycli kunnen de stabiliteit verminderen. Daar zal het effect van risico’s of veranderingen groter door worden.
4. Verschillen in gevoeligheid voor risico’s
Deze spreekt vrijwel voor zich. Hetzelfde risico kan verschillende effecten hebben op mensen of organisaties, afhankelijk van hun context. Denk daarbij bijvoorbeeld aan: geografische ligging, ervaring, rijkdom, genetica en organisatiecultuur.
Bovenstaande zijn slechts een paar voorbeelden, maar wees uiterst zorgvuldig met de verschillende gevoeligheden. ‘One size fits all’ is op zich al een risicovolle benadering, want elk contextueel verschil kan leiden tot uiteenlopende gevoeligheden voor risico’s. En kan daardoor een totaal verschillende impact hebben.
Een andere en mooie omschrijving voor deze bijdragende factor is ‘variabele kwetsbaarheid’.
5. Tegenstrijdige belangen, waarden en wetenschap
Helaas is deze risicofactor van emerging risks ons veel te goed bekend. In vrijwel elk debat over risico’s worden wetenschap, waarden en belangen met elkaar vermengd. Een recent voorbeeld is het debat in ons parlement over Covid-19.
De vijfde risicofactor van emerging risks beschrijft de meningsverschillen of conflicten die ontstaan door verschillende opvattingen en daardoor een vrijwel gegarandeerde bijdrage leveren aan het ontstaan of het versterken van het risico.
Wat gebeurt er namelijk als wetenschap betwist wordt of men andere waarden er op na houdt? Dan zal elke beoordeling van de situatie en elke maatregel t.b.v. het beperken van het risico weerstand oproepen. Uit deze onenigheid ontstaat (extra) risico.
6. Sociale dynamiek
Veranderingen in de samenleving, ook wel sociale dynamiek, kan leiden tot risico’s met kans op schade. Dit kunnen zowel nieuwe risico’s zijn als bestaande of bekende risico’s.
Risico’s kunnen echter ook verkleinen, bijvoorbeeld doordat de sociale omstandigheden verbeteren.
Bij sociale dynamiek gaat het om de onvoorspelbare veranderingen te analyseren en te begrijpen wat er speelt om zo goed mogelijk de risico’s te kunnen inschatten.
7. Technologische vooruitgang
De technologische mogelijkheden ontwikkelen zich razendsnel. Het risico is dat de technologische ontwikkeling ver vooruit loopt op bijvoorbeeld wetenschappelijke onderzoeken, overheidsbeleid, volksgezondheid, economische, ecologische en maatschappelijk effecten.
Bij dit type risico’s horen de 3 kanten van de medaille. Jawel drie! De ene kant van de medaille is dat technologische innovatie kan worden vertraagd als de kaders niet of onvoldoende of te streng zijn, waardoor er risico kan ontstaan.
De andere kant van de medaille is dat economische, beleids- of regelgevingskaders, waaronder instellingen, structuren en processen onvoldoende zijn ingericht of achter blijven lopen op de realiteit. De ontwikkeling gaat dan (te) snel en ontstaat er risico.
De zijkant van de medaille is wanneer het ondersteunend onderzoek ontoereikend is, zeker in het geval van volksgezondheid. Denk dan nog even aan de tekst die op de zijkant van heel veel munten staat, men verwijst dan naar een hogere macht.
Tip: voor technologische vooruitgang is het gemakkelijkste om het begrip PESTLE te koppelen aan de zevende risico bijdragende factor.
8. Temporele complicaties
In de beschrijving van IRGC noemen ze de achtste risicofactor van emerging risks: temporele complicaties. Dat is goed te vertalen als kwesties waar tijdsverloop een rol gaat spelen.
Een risico is moeilijk te voorspellen als er tussen de oorzaak en gevolg een tijdsvertraging optreedt. Het is dan soms lastig om de schadelijke effecten van een risico in te zien als het gevolg pas na lange tijd duidelijk wordt. Een andere mogelijkheid is dat het tijdsverloop van een risico de tijdspanne van de beslissers, beleidsmakers of gebruikers overschrijdt. In beide gevallen zal het de opsporing van het oorspronkelijk risico bemoeilijken.
Goede voorbeelden hiervan zijn de loden waterleidingen, de kankerverwekkende stof chroom-6 in verf of wat te denken over Formaldehyde welke bijvoorbeeld gebruikt wordt in MDF en spaanplaat. De nadelige effecten van formaldehyde zijn nog niet volledig bekend, maar de mogelijkheid dat er sprake is van risico is reeds geventileerd.
9. Communicatie
Risico’s kunnen worden gecreëerd, gecompliceerd of versterkt door gebrekkige communicatie, zoals een te late reactie, onvolledige, misleidende of zelfs de afwezigheid van communicatie.
Binnen agile werken is open en eerlijke communicatie een absolute voorwaarde om vertrouwen op te bouwen. Een effectieve communicatie helpt om (opkomende) risico’s te verkleinen of tot betere anticipatie en beheer.
In het artikel De vier aspecten van communicatie wordt uitvoerig beschreven wat er daarvoor nodig is.
10. Informatie asymmetrieën
In spreektaal is dit een situatie, waarbij sommigen over informatie beschikken die niet beschikbaar is voor een ander.
Deze kennisverschillen in informatie kunnen met opzet of per ongeluk worden gecreëerd. Een bekend voorbeeld van een asymmetrie die bewust wordt gehanteerd is tijdens een reorganisatie. Er is sprake van risico, maar men kiest ervoor om alle betrokkenen tegelijkertijd te informeren, terwijl anderen al op de hoogte zijn. Vanuit het oogpunt van de organisatie verminder je dan juist risico.
Bij een informatieverschil dat per ongeluk wordt gecreëerd kan dit verschil het risico ook versterken of zelfs de bron van het risico zijn. Een goed voorbeeld is een epidemie.
Bij een epidemie is informatiegelijkheid bijvoorbeeld van groot belang, anders kunnen nieuwe risico’s ontstaan als sommige belanghebbenden belangrijke informatie over een risico hebben, maar andere niet op de hoogte zijn. Denk bijvoorbeeld eens aan het gebruik van een mondkapje.
Vanuit een risico perspectief leiden informatie asymmetrieën tot slechte besluitvorming of ongepaste acties. Daarnaast creëert het wantrouwen en stimuleert het niet-meewerkend gedrag.
Verschil in informatie is een veel voorkomende situatie, in crisissituaties zijn professionals zich daar zeer van bewust. Hiertoe hebben ze juist systemen ontwikkelt om deze verschillen te minimaliseren. Lees hiervoor het artikel Wat is Crew Resource Management?
11. Perverse prikkels
Perverse prikkels zijn de prikkels die contraproductief of ongewenst gedrag oproepen, die uiteindelijk leiden tot negatieve, onbedoelde gevolgen. We herinneren ons allemaal vast en zeker de financiële crisis, de perverse prikkels in de bonusstructuren hebben geleidt tot veel ellende.
Perverse prikkels leiden dus tot het ontstaan van risico’s. Wederom zijn er twee mogelijke effecten. Men doet minder aan risicopreventie, bijvoorbeeld door de te behalen bonus op resultaat. Of men wil bijvoorbeeld zo graag het resultaat halen dat men bereid is om overdreven risico’s te nemen. In sommige gevallen stimuleert men elkaar om nog verder te reiken, waardoor het risico steeds groter kan worden.
Denk alleen niet dat perverse prikkels voorbehouden zijn aan ‘witte boorden’. In de bouwwereld vinden er regelmatig ongelukken plaats, omdat deadlines gehaald moeten worden. De belangrijkste motivatie van het halen van een dergelijke deadline is veelal geld, waarbij men op de werkvloer bereid is om extra risico te nemen.
Uiteindelijk leiden prikkels tot contraproductief gedrag, waarbij men meer risico’s neemt, waardoor mogelijk onbedoelde gevolgen en onvoorspelbare risico’s ontstaan.
12. Kwaadaardige motieven en handelingen
Kwaadaardige motieven en handelingen zijn acties van mensen of organisaties die van plan zijn anderen schade te berokkenen. Deze acties zouden kunnen leiden tot onverwachte risico’s met verstrekkende gevolgen.
Kwaadaardigheid is verre van nieuw, maar de risico’s zijn veel groter dan voorheen. We leven immers in een wereld die sterk met elkaar verbonden is door infrastructuren, informatie- en communicatiesystemen.
Door deze acties kunnen zowel nieuwe, bestaande, onverwachte en ook onbedoelde risico’s ontstaan. Het belangrijkste bij de twaalfde risicofactor is dat men zich bijvoorbeeld realiseert dat een handeling van een persoon, organisatie in de je directe omgeving of zelfs aan de andere kant van de planeet direct invloed kan hebben op toename van risico’s.
Voorbeelden hiervan zou een werknemer kunnen zijn die de organisatie om moverende redenen bewust wilt beschadigen of bijvoorbeeld terrorisme gericht op jouw organisatie.
Een interessanter voorbeeld is echter de wereldzadenbank op Spitsbergen. Een bewaarplaats voor zaden als het ergens in de wereld, bewust of onbewust, fout gaat. In 2015 werd, vanwege de Syrische burgeroorlog, voor de eerste keer beroep gedaan op deze zadenbank.
De 12 bronoorzaken
Bovenstaande 12 risicofactoren van emerging risks kun je zien als bronoorzaken van risico’s die gekoppeld zijn aan menselijke, natuurlijke of causale interacties. Het doel is dat men risico’s die voortvloeien uit nieuwe of toekomstige bedreigingen, of die een impact hebben op nieuwe of toekomstige blootstellingen en kwetsbaarheden eerder herkent worden.
Het verkrijgen van nieuwe inzichten in generieke oorzaken helpt je verder om proactief en preventief te reageren op risico’s. Deze kunnen een betere bescherming bieden tegen nieuwe risico’s. Dat daar een discussie op kan volgen is een gegeven.
Want zoals je zult begrijpen zijn bovenstaande oorzaken direct ook een forse bron van discussie. Stakeholders zullen vanuit hun verschillende belangen alle keuzes kunnen betwisten. Het doel van deze gesprekken is dat praten waardevolle inzichten verstrekt en dat men ondanks mogelijke tegenstellingen men elkaar kan vinden en daardoor proactief en preventief op risico’s gaat reageren.
Samenvatting
De samenvatting volstaat met de beschrijving dat men er alles aan dient te doen om potentiële opkomende risico’s zo vroeg mogelijk op te sporen.
Wellicht is de belangrijkste boodschap dat mensen niet altijd rationeel of logisch handelen. Herken en erken dit. Vervolgens identificeer, bespreek en corrigeer je risicogedrag.
Vaak start men met de inrichting van risk systemen, vanzelfsprekend. Zonder strategie is er geen beleid. Vanuit de 12 risicofactoren dient de focus te liggen op het menselijk gedrag. Een risicobewuste op de samenleving gerichte organisatie is immers beter voorbereid op risico’s.
Een voordeel is het als je als organisatie agile werkt, omdat een hoge mate van flexibiliteit een organisatie helpt om zich snel aan te passen aan de veranderende omstandigheden.
Tot slot
Bovenstaande 12 risicofactoren van emerging risks beschrijven nieuwe of toekomstige bedreigingen, blootstellingen en kwetsbaarheden. Allen hebben het doel om opkomende risico’s tegemoet te treden.
Opkomende risico’s kunnen het gevolg zijn van trends of gebeurtenissen in deze gebieden, die alleen of in combinatie het intrinsieke potentieel hebben om risico’s te veroorzaken.
Vanuit een organisatieperspectief dient men op het hoogste niveau een risk strategie te hebben, vanuit een coach perspectief is het heel verstandig om teams zich bewust te laten zijn van welke emerging risico’s er allemaal zijn aan de hand van deze 12 risicofactoren. Zie jij ook de mogelijkheid voor een super interessante retrospective?
Het thema risk zal in de komende tijd in meer artikelen terugkomen. Zie het artikel 3LoD in agile risk management.