Er is niks mis met risk heat maps …

In vertaling van David Vose‘s blog posts, met toestemming:
Vooraf even een paar woorden opdat u niet schrikt …:
Dit artikel gebruikt ironie. Zowat ieder idee dat hier te berde wordt gebracht, is volkomen en volslagen nonsens. Dit kan confronterend werken, omdat hier wel een min of meer exacte optekening staat van wat mensen daadwerkelijk doen.
Er staan enkele subtiele verwijzingen in naar Vose’s Pelican, een ERM-systeem dat de genoemde beperkingen niet kent. Het bekijken waard.
Veel leesplezier en bedenk het niet met alles te zeer eens te zijn…

In de afgelopen jaren zijn ‘heat maps’ – een populair en belangrijk hulpmiddel voor het managen van risico’s in projecten en in organisaties als geheel – onder vuur gekomen omdat ze op z’n best ‘misleidend‘ werden genoemd en op z’n slechtst ‘helemaal nutteloos‘, door de leidende denkers over risicomanagement. Dit artikel geeft een objectieve beoordeling van hun beschuldigingen.

Wat is een risico?

Zoals we allemaal weten: een risico is een gebeurtenis die al of niet zal plaatsvinden en als het plaatsvindt een ongewenst effect heeft. Het kent daardoor twee dimensies:

  1. De kans dat het gebeurt
  2. De grootte van het effect als het gebeurt

Wiskundigen, statistici, ingenieurs en wetenschappers hebben een speciale term voor de kans dat iets gebeurt: waarschijnlijkheid. Maar dat is alleen van toepassing op risico’s die maar één keer kunnen voorkomen. Voor risico’s die meerdere keren kunnen voorkomen (de overgrote meerderheid van risico’s) gebruiken ze de term verwachte frequentie. Dit is verwarrend. Om de wiskunde en statistiek simpel en bruikbaar genoeg te houden voor echte mensen, zullen we het in het vervolg maar gewoon over kans hebben en er vanuit gaan dat risico’s maar één keer kunnen gebeuren.

Er zijn diverse soorten effecten (impact) die kunnen optreden. De risico-gebeurtenis kan bijvoorbeeld een ongeluk zijn met een of meer van de volgende effecten:

  • Financiële verliezen
  • Verlies van mensenlevens
  • Schade aan het milieu
  • Vertraging of uitval van kritieke dienstverlening
  • Reputatieschade en uiteindelijk sluiten van de organisatie

Het is gebruikelijk om alleen met de financiële schade rekening te houden. Dit heeft diverse voordelen:

  • Het is simpel en gemakkelijk te volgen
  • Het is eenvoudig om de financiële effecten te schatten omdat het uiteindelijk toch alles om geld gaat
  • Het is wel zo makkelijk om de analyse te doen [1]
  • Het vermijdt moeilijke vragen over de houding ten opzichte van mensen of het milieu, maatschappelijke verantwoordelijkheid, de morele plicht diensten te leveren of het bedrijf voort te laten bestaan.

Wat is een heat map?

Heat maps zijn overzichten waarin de kans dat iets gebeurt, wordt afgezet tegen het effect. Normaliter worden de kansen op de horizontale as gezet en de effecten op de verticale as, maar dat kan naar believen worden omgekeerd.
Elke as is in verschillende secties gesplitst. Het aantal secties moet hetzelfde zijn voor beide assen. Dan ziet het er goed uit en dan kunnen we de heat map als ‘n x n’ beschrijven. Iedere sectie krijgt een term die eenvoudig te begrijpen is door senior managers. Research heeft aangetoond dat alle senior managers de termen low, medium, high begrijpen en ze in oplopende volgorde kunnen zetten. Dit geeft een overzicht als in Figuur 7:

Figuur 7: een eenvoudige heat map

Nu geven we de categorieën een numeriek score. We gebruiken gehele getallen, te beginnen met 1 en oplopend per categorie. Zo hebbne we voor de drie secties van figuur 1 het volgende:
Low = 1, Medium = 2, High = 3

De scores voor Kans en Impact worden dan gecombineerd om een score voor elk blokje van de figuur te bepalen. De twee mogelijkheden zijn optellen en vermenigvuldigen. Beide worden gebruikt. Omdat het voor risicogebaseerde besluitvorming niet uitmaakt welke van beide wordt gebruikt, zullen we uitgaan van vermenigvuldiging. Dat is weliswaar iets ingewikkelder dan optellen, maar sluit iets beter aan [2] bij de gebruikelijke manier van denken over risico waarin:

Risico = Kans X impact [3]

Ten slotte wordt, om duidelijk te maken welke risico’s groter zijn en welke kleiner, een kleurenschema toegepast om voor het maximale management-inzicht [4] te zorgen. Het meest gebruikelijke kleurenschema is Rood-Oranje-Groen, omdat dat bekend is van stoplichten, zoals in Figuur A:

Figuur A: een risk heat map

In testen is gebleken dat 93% van de managers kon begrijpen dat rood = stop, en 100% begreep groen = gaan met die banaan. Dit is uitstekend nieuws, want het betekent dat management op ieder risico dat in een rood vakje belandt, zal reageren met ‘Stop! Niet doen!’ zoals precies de bedoeling is. Ze zullen zich ook niet bezighouden met risico’s die in het groen belanden. Goed risicomanagement vindt altijd manieren om de risico’s in het groen te laten belanden.

De oranje vakjes zijn wat lastiger. 23% van de ondervraagde managers dachten dat oranje Stop betekende, 47% van de managers dacht dat het Doorgaan met Extra Gas betekende zolang je maar niet wordt geflitst, en 2% van de managers dacht dat het gewoon Doorgaan betekende [5]. Dit heet ‘risk appetite’ en is een essentieel onderdeel van besluitvorming.

Risico’s moeten zo veel mogelijk in de rode of groene vakjes worden geplot om de werkdruk en stress van het executive committee te verlichten. Dit is moeilijk te bereiken met de 3×3 matrix van Figuur A omdat er te veel oranje in voorkomt, dus is het gebruikelijk om een meer geavanceerde 5×5 matrix te gebruiken, zoals in Figuur 5:

Figuur 5: een geavanceerde 5×5 matrix

Nota bene, er zijn relatief weinig oranje vakjes maar het kleurenschema is consistent en transparant en dat is essentieel voor goed risicomanagement; dit komt door de volgende regels:

  • Score < 10 = Groen
  • 10 < Score < 14 = Oranje
  • Score > 14 = Rood

Beschrijvingen anders dan {Very Low, Low, Medium, High, Very High} zijn ook mogelijk. Het gebruik van Engelse termen biedt het voordeel dat iedereen denkt dat de risicomanager een wereldwijze consultant is. Even snel Googelen levert ons bijvoorbeeld diverse andere opties om de Kans te beschrijven. Deze vinden we ook terug in zeer commerciële en hoogst populaire risicomanagementsoftware (Pelican heeft dit niet maar is toch al een vreemde eend in de bijt) dus daar kunnen we volledig op vertrouwen:

  • {Remote, Unlikely, Possible, Likely, Probable}
  • {Rare, Unlikely, Possible, Likely, Almost Certain}
  • {Rare, Remote, Moderate, Likely, Frequent}

Sommige mensen vinden Possible, Mogelijk, minder waarschijnlijk dan Unlikely, Onwaarschijnlijk, maar de kans dat dit enige invloed heeft op risicogebaseerde beslissingen is Remote of Rare, Uitzonderlijk Klein. Voor het gemak worden alle risico’s die meer dan één keer kunnen optreden, zoals fraude, aardbevingen, tornado’s, stakingen, kapotte apparatuur en zo, allemaal samengeveegd in de hoogste kans-categorie. Een risico dat een keer kan optreden in dezelfde categorie zetten als een risico dat gemakkelijk honderd keer kan optreden is prima want ze zullen toch beide vrijwel zeker optreden. Dit is een best practice.
Alternatieve impact-beschrijvingen zijn evenzo goed mogelijk en consistent, zoals:

  • {Negligible, Low, Medium, High, Extreme}
  • {Insignificant, Minor, Moderate, Major, Critical}
  • {Insignificant, Low, Moderate, Significant, Major}
  • {Insignificant, Minor, Moderate, Major, Catastrophic}
  • {Low, Medium, High, Serious, Extreme}
  • {Minor, Moderate, Significant, Major, Severe}

Beide schalern zijn hoogst breed aanpasbaar [6], doordat eenieder de gebruikte woorden naar eigen believen kan interpreteren. De meest aanpasbare versie van een heat map doet het zelfs helemaal zonder beschrijvingen en gebruikt de nummer 1 t/m 5. Zo wordt alle eventuele verwarring vermeden, door welke connectie tussen de schaal en waarden uit de echte wereld dan ook weg te halen. Maar dit is wel een volstrekt kwantitatieve techniek en kan daardoor alleen door hoogopgeleide risicomanagers worden gebruikt.

Het is duidelijk dat vele risico’s op zich verschillende mogelijke impacts kunnen hebben. Zo kan een auto-ongeluk bijvoorbeeld resulteren in een klein deukje of in een aantal dooien. Om de consistentie te bewaren, moet een bedrijf een risicomanagementbeleidsdocument ‘ontwikkelen’ waarin wordt uitgelegd of men de laagste of de hoogste impact moet gebruiken as dé ene impact. De laagste impact zet meer risico’s in de groene vakjes en is daarom een element van volwassen risicomanagement.

Veel risicoregisters worden in Excel bijgehouden en staan op de PC van de risicomanager zodat die strak in de hand kan houden wie ze zien, en zeker kan stellen dat alle data wordt goedgekeurd voordat ze überhaupt in de spreadsheet komen. Dit, omdat de risicomanager beter dan wie dan ook in alle afdelingen de risico’s kan inschatten. Dit maakt het ook makkelijk om hogere echelons te voorzien van up-to-date informatie over de huidige risicostatus door even de spreadsheet uit te draaien (tenzij hij/zij nou net alweer met vakantie is of ziek).

Alternatieve kleuren

Sinds ‘conditional formatting’ in Excel zat, is het simpel geworden om de kleuren van de vakjes een mooi verloop te geven, zoals in Figuur 1:

Figuur 1: risk heat map met kleurenverloopschema

Dit is een klassiek voorbeeld van toeters en bellen in sotware die onverwachte en belangrijke business-consequenties hebben. Door meer kleuren toe te voegen, wordt het inzicht van managers onmiddellijk vergroot natuurlijk, maar het maakt het managers wel moeilijker om te weten wanneer ze Stop moeten roepen, of Doorgaan, en dat geeft verwarring en dan wordt risicomanagement te ingewikkeld om nog te gebruiken.

De risk heat map is ‘best practice’. Het is een hulpmiddel gebaseerd op logica en wiskunde, en er zijn ter ondersteuning busladingen handleidingen, consultants, risicomanagerdiploma’s en software, maar we moeten niet het voorbeeldige harde werk teniet doen dat in de ontwikkeling van heat maps is gaan zitten door het overingewikkeld te maken met extra kleurtjes.

Het kleurenschema en de echte wereld

Het kleurenschema is een essentieel onderdeel van risk monitoring. Er zijn eenvoudig Key Performance Indicators uit af te leiden en te volgen. Zo kan bijvoorbeeld een risico in een risicoregister [7] worden ingevoerd als in Figuur 4:

Figuur 4: een regel van een risicoregister [8]

Het kleurenschema maakt onmiddellijk duidelijk dat het risico van oranje naar groen is geschoven; dat is goed risicomanagement. Als het risico van oranje naar rood zou zijn geschoven, was dat slecht risicomanagement. We zien tevens dat de specifieke risicomanagementactie een kostenbatenverhouding heeft van 16.667; dat is zeer nauwkeurig en kan daarom heel precies worden vergeleken met andere risicomanagementacties, dat noemen we het optimaliseren van de efficiency van de overall risicomanagementstrategie.

Geavanceerde risicomanagement-analysestrategieën

Risicomanagement draait om rapportages. Risicomanagement als governancesysteem is daarom te beoordelen op de visuele aantrekkelijkheid van de rapportjes. Het heat map systeem geeft vele mogelijkheden om fraaie full-color dashboards mee te ontwikkelen en om uitgebreide performancerapportages voor de hogere echelons op te stellen – we kunnen in dit artikel uiteraard slechts een tipje van de sluier hiervan oplichten. Gelukkig kunt u zelf nog veel meer ideeën uitwerken omdat de logica van risico heat maps volledig naar eigen wens aanpasbaar is, zonder ballast van wiskundige principes. De meest voorkomende risicodashboard-onderdelen zijn:

  • Een lange lijst van de top risico’s
  • Een telling van de risico’s in de heat map
  • KPIs die de verbeteringen in het risicomanagement laten zen

Deze worden hieronder in nog meer detail uitgelegd.

Lijst van top-risico’s

De top-risico’s zijn de risico’s met de hoogste score. Traditioneel kijkt men toch alleen naar de hoogste 5, 10 of – wie heel ver wil gaan – 15 risico’s. Deze worden normaliter in een tabel gepresenteerd die van Excel naar Powerpoint is gekopieerd. Soms kan zelfs een dynamische link worden gelegd van de Powerpoint-file naar de Excel-sheet. Dat deze link niet vanzelf updates doorvoert, is niet zo erg want voor de discussie hoeven we de laatste gegevens niet bij de hand te hebben.

Aan risico’s kunnen extra kwalificaties worden gehangen zoals de entiteit die het betreft, de regio, het asset, project of grondoorzaak (zoals brand, het weer, fraude etc.; iedere lijst voldoet). Dit maakt het mogelijk de risico’s te filteren zodat alleen degenen die van belang zijn voor het gehoor, in beeld komen. Dit heet ‘drilling down’. Drilling down en ‘deep diving’ samen, zijn diepe analyse. In Excel doen we dat met pivot tables maar dat is heel ingewikkeld en laten we liever over aan een expert – meestal een junior die zo handig is met computers.

Er is enige onenigheid of men pre-management of post-management scores moet gebruiken voor het sorteren van risico’s om de hoogste te vinden. Onenigheid is een teken van gezondheid van een vak waarin men bereid is de grenzen op te zoeken ten behoeve van vooruitgang.
Over het algemeen [9] kiest men voor post-management omdat dit veronderstelt dat men alle risicomanagementactiviteiten op de juiste manier heeft beoordeeld en heeft vastgesteld dat alles vlekkeloos werkt, waarmee de waarde van risicomanagement is geborgd. Bijvoorbeeld:

Figuur A: een top risico rapportage

Het rapport in Figuur A toont dat de business de score van de portefeuille aan risico’s heeft teruggebracht van 103 naar 42, oftewel 60%, wat men eenvoudig in de laatste kolom terugvindt: 103-42-61. Het rapport toont ook maar één risico in oranje, waarop management een deep dive kan aanvragen om te bezien wat kan worden gedaan om het op groen te krijgen.

Het top 10 risico rapportzal van de ene op de volgende Executive Committee-vergadering niet zo veel veranderen, waaruit we het goede gevoel kunnen afleiden dat de risicomanagementstrategie stabiel en zuiver beheerst is, en werkt. Laten zien dat de top risico’s niet veranderen, heet risk auditing.

Telling van de risico’s in de heat map

Een telling [10] van de heat map risicotabel telt gewoon het aantal risico’s per veld van de heat map. Dit geeft een overzicht van de totale risicogevoeligheid en heet risico-aggregatie. Men kan pre- en post-management matrices over elkaar heen leggen om de successen van risicomanagement te benadrukken:

Figuur 2a: Pre- and post-management risicotellingen weergegeven in heat maps

Risicomanagement-KPIs

Key Performance Indicators zijn berekende, volledig kwantitatieve maatstaven die een objectieve maat zijn voor de prestaties van een entiteit. Ze kunnen iedere dag worden vastgelegd en uitgerekend en in een grafiekje worden uitgezet om Executives een direct beeld te geven van de prestaties van risicomanagement. Dit is héél belangrijk want Executives zijn altijd heel Druk en moeten niet te veel tijd aan risicomanagement besteden als ze eigenlijk bezig zouden moeten zijn met strategie, budgetten, doelstellingen etc.

De ideale presentatie van een KPI is een sparkline. Een sparkline is een heel klein lijngrafiekje zonder assen of coördinaten [11]. Ze kunnen zelfs in een cel van een spreadsheet worden gezet, waarmee die er gelijk een stuk professioneler uitzien:

Figuur 37: een sparkline toevoegen aan een spreadsheet

De waarde van een sparkline zit ‘m erin dat er geen assen, labels of schalen aan vastzitten. Hierdoor kan de Drukbezette Executive in één oogopslag een diepgaand inzicht verwerven in de ontwikkelingen van meerdere KPIs tegelijk zonder tijd te verdoen aan pogingen datums of cijfers te lezen.

Veel voorkomende KPIs zijn:

  • Aantal rode risico’s
  • Aantal risico’s dat eigenlijk rood is maar nu door risicomanagement niet
  • Aantal nieuwe rode risico’s
  • Aantal risico’s dat rood was maar buiten beeld zijn geraakt
  • Fractie van de risico’s die kortgeleden van rood naar groen zijn verhuisd etc.

Kansen

Risicoanalyse kan nogal demotiverend zijn. Alles is kommer en kwel. Mensen die op problemen wijzen, zijn impopulair. Dit is de belangrijkste rol van de risicomanager. Door het mogelijk te maken dat alle anderen positief blijven door risico’s te negeren, offert de risicomanager zijn(/haar) populariteit op voor het welzijn van de organisatie als geheel en dat heet ‘bevorderen van de risicocultuur in de organisatie’.

Dit sociale stigma kan echter voor sommige risicomanagers te groot worden. De last van de enige te zijn die iets met risico’s doet, kan zwaar wegen op de schouders van de risicomanager. Maar dit biedt kansen. Een kans is een gebeurtenis die al of niet kan plaatsvinden, maar als het gebeurt, is het goed. Zoals het winnen van de loterij, of een verandering in de wet waardoor de organisatie een belastingmeevaller kan boeken. De risicomanager moet veel aandacht besteden aan kansen in de heat map met name als zijn sociale status al te belabberd is geworden. Veel meer aandacht besteden aan kansen dan aan risico’s is sowieso nodig voor een afgewogen beeld omdat er al zo weinig kansen zijn ten opzichte van het aantal risico’s en dat is zielig voor de kansen.

Net als risico’s hebben kansen kans- en impact-dimensies en ze kunnen daarom in hun eigen heat map worden gezet. De kleurenkeuze is een beetje ingewikkeld, omdat alle stoplichtkleuren al zijn opgebruikt. Verschillende schema’s zijn voorgesteld, inclusief variaties van blauw, of het gebruik van groen voor kansen en rood voor risico’s. Eén expert stelde zelfs paars voor maar het gebruik hiervan is nog niet uit en te na getest. Als een kansen-matrix is opgesteld, moet die naast de risicomatrix komen met een gespiegelde x-as. Dat ziet er namelijk leuk uit.

Heat map criticasters en hoe ze stil te krijgen

Wat zijn die critici voor types?

Er zijn een aantal mensen aan de randen van wat we risicomanagement zouden noemen die nogal wat kritiek hebben op heat maps. Dat zijn zogenaamde ‘denkers’ – schrijvers, experts, iedereen met een ingenieurstitel etc. Het zijn meestal geen mensen uit de belangrijkste sectoren van risicomanagement te weten:

  • Universiteiten die risicomanagementcursussen verkopen. Deze universiteiten hebben als enige doel de hoge investeringen van de deelnemers in de cursussen te beschermen door ze allemaal te laten slagen, en door zeker te stellen dat iedereen aan de cursussen kan meedoen zonder enige voorkennis-eis. Dit is heel democratisch; hierdoor kan iedereen met een beetje (veel) geld een risicomanager met een certificaat worden.
  • Grote consultancy-bedrijven die risicomanagement als service aanbieden. Deze bedrijven erkennen het belang van standaardisatie, door eventuele creatieve gedachten uit te bannen en risicomanagement tot een standaardkunstje te maken. Dit heet best practice. De bedrijven schrijven op wat ze vinden dat best practice is door te bestuderen wat mensen al doen, dat wat vaag te maken en het tot het best mogelijke te verklaren. Dit is uitstekend en niemand ligt er wakker van. De consultancy-bedrijven vergelijken het risicomanagement van hun klant met alle andere klanten die ze hadden verteld de best practice te volgen. Dit heet benchmarking. Standaard Excel heat maps kunnen aan de consultants worden meegegeven om uniformiteit te bereiken.
  • Risicomanagement-softwareverkopers die inzien dat de beste meest moderne risicomanagement-tools alleen kwartaalrapportages hoeven te leveren en het senior management niet moeten opzadelen met moeilijke dingen als beslissingsondersteunende dingen of zo. De tools moeten daarom zo simpel mogelijk te gebruiken zijn, fraaie grafiekjes en tabellen produceren, en zeker geen inhoudelijke kennis vereisen. Het tool moet ook als app op een smartphone draaien.

Bij wie kan ik hulp krijgen als ik kritiek op heat maps tegenkom?

Argumenteren met intellectuelen is vermoeiend want ze gebruiken vaktermen en komen met ideeën waar u nog nooit van heeft gehoord. Dat is niet eerlijk. Zoals de meeste stemmers bij landelijke verkiezingen bent u waarschijnlijk ook moe van experts die u wel even vertellen wat u moet doen.
Gelukkig zijn er veel mensen die u willen helpen. Het is belangrijk dat u niet direct tegen de criticasters ingaat want ze zullen u tegenspreken met logica en ideeën. Dit vindt u hinderlijk, en misschien zegt u iets ongepast. U kunt daarentegen wel uw mening geven op Twitter en LinkedIn en vragen om Likes. U vindt de meeste medestanders onder:

  • Risicomanagers met een certificaat & ndash; vraag ze om u te helpen door de wereld duidelijk te maken dat ze al vele jaren heat maps gebruikten en dat dat prima was. Maar voorkom dat ze gaan uitleggen hoe ze wisten dat het prima was, dat is een risico. En laat ze vooral wapperen met hun certificaten.
  • Risicomanagement-softwareverkopers – zij weten als geen ander objectief duidelijk te maken dat (alleen) hun software compliant is met een of andere standaard.
  • Risicomanagementexperts – zij zullen uitleggen hoe handig risico-workshops zijn en hoe veel u er wel aan hebt. Vraag ze niet hoe de informatie is gebruikt in uiteindelijke besluitvorming – dat hoort niet bij hun werk.
  • Ingehuurde ‘onafhankelijke’ consultants die risico-workshops geven en risicorapporten opstellen – deze mensen kunnen talloze voorbeelden geven hoe makkelijk is heel veel rapporten te schrijven tegen weinig kosten.

U kunt ook linkjes sturen naar diverse mensen met Youtube-videos. Zoek op ‘risk heat maps’. Vermijd dan wel de hoogst irritante videos van Osama Salah, Alexei Sidorenko en de Strategic Decision Group – dat zijn van die ‘leiders’ in het vakgebied; zie boven.

Waar gaat de kritiek überhaupt over?

Dat doet er niet toe. Die is toch maar gebaseerd op decennialang bewezen dingen als kansrekening en beslistheorie.

Theorie is een ander woord voor een gokje.

Beter dan in discussie te gaan over theorieën, kunt u arrogant doen en er de criticus simpelweg op wijzen dat kritiek geven makkelijk is en mensen depressief maakt, en is er dan echt iets beters te bedenken? Dat zal toch wel niet.

En Pelican is natuurlijk ook niks.
[Ik heb niet eens aandelen.]
En lees ook het vervolg eens, hier.

Dan mag ik nu wel afsluiten met een eigen relevant plaatje:

[“De vloer is stevig én geeft uitzicht”; CN Tower / Blue Jays’ Rogers Stadium, Toronto]

[1] Snelheid is belangrijk. Risicomanagement moet maar één keer per kwartaal worden gedaan en moet niet meer dan een dag duren, om even te vernieuwen. De resultaten moeten binnen vijftien minuten te presenteren zijn aan de Raad van Bestuur. Anders vergt het te veel tijd van Belangrijke mensen.
[2] Aansluiten, consistentie met wat dan ook, is een kritiek element van risicomanagement.
[3] Om een voorbeeld te geven: Als u een kans heeft van 10% om €1.000.000 te verliezen dan bent u helemaal veilig als u 10% * € 1.000.000 = € 100.000 in reserves heeft.
[4] Inzicht is een belangrijk woord op business schools die op nep-oude kasteeltjes resideren die van vroeger aanzienlijke families waren. Dit woord dient regelmatig te worden gebruikt om het vertrouwen van management te winnen, maar niet zo vaak dat management denkt dat u hun baatje wil inpikken.
[5] De overige 28% van de bevraagde managers weigerde antwoord te geven tot ze het juiste antwoord hadden gekregen. Dit heet compliance.
[6] Risicomanagement moet zeer flexibel aanpasbaar zijn.
[7] Dit is een Excel-sheet die door de risicomanager eens per maand wordt doorgelezen. Eventuele inhoud wordt meestal na een risicoworkshop bijgewerkt, of niet.
[8] NB dit is maar een voorbeeld, slechts ter illustratie. Echte professionele risicoregisters hebben de risico’s in regels, niet in kolommen.
[9] De meest voorkomende mening is de juiste.
[10] Tellen is een vereiste voor risicomanagement. Als u niet van tellen houdt, is risicomanagement misschien niet het meest geschikt voor u. Misschien ook wel.
[11] https://en.wikipedia.org/wiki/Sparkline legt dit uit in het Engels. Als u geen Engels begrijpt, bent u geschikt om Executive te spelen.

2 thoughts on “Er is niks mis met risk heat maps …”

Leave a Reply

Your e-mail address will not be published. Required fields are marked *