Risico inventarisatie

Uit tabel 6.3 blijkt dat negen respondenten risico’s hebben geïnventariseerd. De andere drie respondenten noemen in de interviews ook wel risico’s, maar dit is niet geformaliseerd. Twee noemen enkel risico’s omdat dat op dat moment gevraagd wordt. Een derde geeft een typisch voorbeeld van ‘incident management’, op het moment dat een bepaald probleem zich voordeed heeft men hiervoor een maatregel getroffen. Uit de codering volgt, dat deze drie gevallen niet als risico-inventarisaties beschouwd kunnen worden. De risico’s worden door drie van de negen respondenten geregistreerd. Zes andere respondenten rapporteren de risico’s.

Drie organisatie onderdelen registreren de risico’s. Uit tabel 6.4 op de volgende pagina blijkt dat dit alle drie organisatieonderdelen B zijn. De zes organisatieonderdelen die risico’s rapporteren zijn organisatieonderdelen A.

Tabel 6.3: Risico inventarisatie

Risico inventarisatie Ja Nee

9 3

Registratie Ja Nee Nee

3 6 3

Rapportage Ja Nee Ja Nee Nee

46

De risico’s die door organisatieonderdelen B genoemd worden, zijn vrij operationeel van aard en missen een directe link met de doelstellingen. De organisatieonderdelen B registreren de risico’s in een spreadsheet met kolommen voor verschillende onderdelen waaruit risicomanagementproces bestaat. Opvallend is dat geen enkel organisatieonderdeel B die risico’s inventariseert en registreert, deze vervolgens rapporteert. De organisatieonderdelen A die de risico’s wel inventariseren maar niet registreren, rapporteren de risico’s wel. Dit is opmerkelijk omdat volgens de definitie van Starreveld (2002) voorafgaand aan rapportage, registratie plaats vindt. Hieruit afleidend zou het logisch zijn dat de organisatieonderdelen A, omdat zij risico’s niet registreren, ook niet rapporteren. Toch is het verklaarbaar dat organisatieonderdelen A, ondanks dat zij risico’s niet registreren, risico’s wel rapporteren, omdat zij hiertoe volgens het format van de kwartaalrapportage (kwartaalrapportage, 2010) verplicht zijn. Vijf van deze respondenten rapporteren door de risico’s te vermelden in de specifieke risicoparagraaf in de kwartaalrapportage. De andere respondent rapporteert wel door middel van de kwartaalrapportage, maar heeft hierin geen risicoparagraaf opgenomen. Risico’s worden in dit geval vermeld bij aansluitende onderwerpen in de rapportage. Uit de resultaten blijkt dat het mogelijk is om risico’s te registreren en risico’s te rapporteren, maar dit gebeurt in geen enkel geval allebei.

Uitgaande van bovengenoemde definitie van Starreveld zou het aannemelijk zijn dat organisatieonderdelen B na het registreren van risico’s deze ook rapporteren. De reden waarom zij risico’s niet rapporteren is omdat zij risico-inventarisaties uitvoeren voor andere doeleinden en dus ook voor andere belanghebbenden aan wie zij rapporteren. Organisatieonderdelen B gebruiken de risico inventarisaties ten behoeve van hun kwaliteitszorg systeem. Er ontbreken duidelijke afspraken over hetgeen wat ook intern hierover gerapporteerd moet worden. De geïnventariseerde risico’s zijn verder ook vooral operationeel van aard. Organisatieonderdelen B zouden ook risico’s kunnen noemen die meer tactisch en strategisch van aard zijn. Een andere reden voor het niet registreren en of rapporteren van dit risicomanagementaspect door

Tabel 6.4: Risico inventarisatie, registratie en rapportage door organisatieonderdelen A en B

Organisatieonderdeel A Organisatieonderdeel B Totaal

Risico inventarisatie 6 3 9

Registratie van risico’s 0 3 3

47

organisatieonderdelen B en ook voor de overige aspecten is dat de medewerkers de registratie en rapportagedruk als erg hoog ervaren.

In tabel 6.5 zijn de resultaten met betrekking tot doelstellingen uit tabel 6.1 en de resultaten over risico’s uit tabel 6.4 samengevoegd. In de vorige paragraaf kon men zien dat alle organisatieonderdelen doelstellingen hebben geformuleerd, zij het de één uitgebreider dan de andere. Gezien dit feit zouden zij ook allemaal risico’s geformuleerd kunnen hebben. Uit tabel 6.5 blijkt dat de één van de zeven onderdelen die doelstellingen breed heeft geformuleerd geen risico’s heeft benoemd. Van de onderdelen die doelstellingen ‘deels’ had geformuleerd, heeft de helft geen risico’s geformuleerd. In de praktijk blijkt logischerwijs dus dat wanneer doelstellingen breed zijn geformuleerd, de kans groter is dat risico’s worden geformuleerd. Oorzaken voor het ontbreken van risico’s kunnen onder andere zijn dat er daadwerkelijk geen risico’s zijn of dat onderdelen niet weten hoe zij risico’s moeten inventariseren.

Tabel 6.6 geeft weer of organisatieonderdelen risico’s op een systematische, deels systematische of niet systematische wijze inventariseren.

Organisatieonderdeel A Organisatieonderdeel B Totaal

Systematisch 0 0 0

Deels systematisch 6 3 9

Niet systematisch 0 0 0

Tabel 6.6: Wijze waarop risico’s worden geïnventariseerd door organisatieonderdelen A en B

Bij de organisatieonderdelen A zijn de genoemde risico’s ontleend aan ervaringen en meldingen uit de dagelijkse bedrijfsvoering. Vier keer per jaar vindt een inventarisatie plaats. organisatieonderdelen B inventariseren risico’s niet op vaste tijden maar hebben wel een gestructureerde aanpak. Door deze gestructureerde aanpak komen zij waarschijnlijk tot een groter aantal risico’s die zij ook nauwkeurig vastleggen. Het feit dat organisatieonderdelen B risico’s

Tabel 6.5: formuleren van doelstellingen en inventariseren van risico’s

Doelstellingen

Ja Deels Nee Totaal

Risico’s Ja 7 2 - 9

Nee 1 2 - 3

48

niet op vaste tijden inventariseren, kan een verklaring zijn voor het feit dat zij deze niet structureel rapporteren. In de interviews komt bijvoorbeeld naar voren dat één maal per twee jaar een inventarisatie plaats vindt. De risico’s worden in deze twee jaren niet herzien en daarom worden de geïnventariseerde risico’s gedurende deze twee jaren niet herhaaldelijk vermeld in een rapportage. Organisatieonderdelen A rapporteren hun risico’s wel, omdat zij hierop bevraagd worden door middel van het format van de kwartaalrapportage. Omdat organisatieonderdelen A voor de inventarisatie gebruik maken van eenvoudige brainstorms, bijvoorbeeld ‘een rondje bellen’, inventariseren zij niet zoveel risico’s als organisatieonderdelen B. De niet volledig systematische wijze waardoor organisatieonderdelen A tot hun risico’s komen is ook een verklaring voor het feit dat registratie niet plaatsvindt. De risico-inventarisaties vinden ad hoc plaats op het moment dat de rapportage wordt opgesteld. De risico’s worden dan direct vermeld in de rapportage. Dit weerhoudt men ervan om risico’s ook te registreren in een separaat systeem of ander document.