Gisteren stond er de post over wat er niet mis is aan risk heat maps. Voorwaar een (kennelijk) helder stukje, het kreeg vele hits en Likes. Echter, het bleek dat sommige mensen de post ook daadwerkelijk opende en er zelfs wat in snuffelden. Gezien de reacties was de post klaarblijkelijk nog niet helemaal helder. De onderliggende wiskunde en logica kwam zo te merken te weinig aan bod waardoor sommigen nog twijfelden of heat maps toch wel echt diepere managementinzichten geeft.
Die twijfel proberen we hieronder weg te nemen. In dezelfde stijl als gisteren, in vertaling van David Vose’s stuk.
Geschiedenis
De Kansrekening werd honderden jaren geleden in Europa ontwikkeld door mensen als De Cardano, Fermat, Pascal, Huygens, Laplace en Bernoulli. Er was ook toen al goud geld mee te verdienen dus ja, er deed dus ook een Hollander mee. Die wetenschappers gebruikten moeilijke vergelijkingen en grafieken. In de eeuwen daarna bleef het theorie, en de ideeën zijn weinig veranderd. En stagnatie, daar houden we niet van.
Vele jaren geleden was kansrekening een belangrijk element van risicomanagement. Waarmee we willen zeggen dat kansrekening, en dus risicomanagement, wortels had in de wiskunde en niet alleen in het gezonde verstand en dus waren beide onbruikbaar voor echte mensen die in de harde praktijk van de echte wereld werkten. Sindsdien is echter enorme vooruitgang geboekt. Software-ontwikkelaars begrijpen dat risicomanagement toch ook te maken heeft met de echte wereld, dus ontwikkelden ze ERM-software waarin vergelijkingen en grafieken volledig zijn vervangen door smiley-scores en kleurtjes. Dit was een revolutie in het risicomanagement; nu was risicomanagement beschikbaar voor allen die op school wiskunde niet begrepen. Voor bijna allen dus.
Software
Het nieuwe score- en kleurensysteem voor risico heat maps is in de hele wereld enthousiast omarmd. Het implementeren van een risicomanagementsysteem bestaat uit de aanschaf van een geavanceerd ERM-systeem of een Excel-template. De volgende producten gebruiken risico heat maps; kijk maar eens op bijbehorende sites en zie, met enig zoeken, hoe fraai de plaatjes zijn: ACL, Active Risk Manager, BWise, CURA, IBM OpenPages, LogicManager, MetricStream, Resolver, Risconnect, RSA, Rsam, SAI Global.
Deze producten zijn héél duur dus betrouwbaar. Ze staan ook in Gartner’s Kwadrant voor Integrated Risk Management en de helft staat zelfs in het vakje visionary dus dat is indrukwekkend en vertrouwenwekkend.
Er is een systeem dat geen gebruik maakt van zo’n fraai kleurtjessysteem: Pelican.
Dat is er maar één, at zegt genoeg. Pelican is ook niet nieuw, maar gebruikt ouderwetse kansrekening-ideeën. En probeert dat buiten beeld te houden door eenvoudig in gebruik te zijn. Het is niet zo knetterduur als die andere producten dus kan het niks zijn, is het niks. Het is ontwikkeld door een Belgisch bedrijf en tsja, België is de hoofdstad van Brussel en dat is de reden dat de UK uit de EU wil, nietwaar? Niemand vertrouwt België. Europeanen rijden soms snel door België, op weg naar werk of familiebezoekjes, en stoppen alleen om bier en chocola te kopen bij een toeristenwinkeltje. Ze stoppen niet om software te kopen, dus waarom zou u dat wel doen?
De wiskunde van risico heat maps
Dit stukje beschrijft de regels en wetten die de grondslag zijn voor de kleurtjes voor de risico heat maps. Dit is geschreven voor de onderzoeker die zich echt wil vastbijten in de materie. Risicomanagers en beslissers wordt aangeraden dit stukje over te slaan tenzij ze willen weten hoe risico heat maps hun beslissingen kunnen ondersteunen.
We beginnen met het standaard framework van een 5×5 matrix. De horizontale as (kans) en de verticale as (impact) worden in vijf delen onderverdeeld, elk gelabeld met beschrijvingen als {Very Low, Low, Medium, High, Very High}. Deze krijgen oplopende scores van 1 tot 5, hetgeen een heel aardig plaatje geeft als in Figuur 1:
Figuur 1: Een heel aardig plaatje
De expert wordt gevraagd om ieder geïdentificeerd risico in een van de vakjes te stoppen. Het is een best practice om mee te geven wat wordt bedoeld met Low, Medium, High etc. voor beide schalen omdat het Medium van de een ongeveer gelijk is aan het High van een ander. De impact-schaal hangt af van de grootte van het bedrijf. De belangrijkste factor bij het definiëren van de bereiken van iedere categorie is het besluit hoe de ene categorie samen moet hangen met de andere. Er zijn voor iedere schaal drie opties:
- Maak iedere categorie een constante optelling van de vorige (A). Dit heet een aritmetische schaal;
- Maak iedere categorie een constante factor groter dan de vorige (M). Dit heet een geometrische schaal volgens wiskundigen. Als een geometrische schaal wordt gebruikt voor Impact, kan men voor Kans dezelfde factor gebruiken (I) of natuurlijk een andere (M);
- Maatwerk – doe bijvoorbeeld waar u zin in hebt (C).
Figuur 2 geeft een voorbeeld hoe zoiets eruit kan zien:
Figuur 2: Hoe zoiets eruit kan zien
Kwalitatieve risicoanalyse staat eenieder toe het schema te kiezen wat men maar wil – er zijn geen regels; echt geen – zolang er maar 12 categorieën inzitten. Dit geeft een heleboel flexibiliteit en dat is goed voor een ERM-systeem.
Maar het wordt nog beter! De indices {1,…5} voor Kans en Impact kunnen naar eigen voorkeur worden opgeteld of moeilijker nog, vermenigvuldigd. Dit geeft 24 verschillende mogelijkheden! Die staan in figuur 3.
Figuur 3: De 24 verschillende mogelijkheden bij kwalitatieve risicoanalyse
De flexibiliteit van kwalitatieve risicoanalyse is echt opvallend. Kwantitatieve risicoanalysespecialisten en de denkende voorhoede begrijpen niet veel van deze combinaties, behalve dan de twee rode. Hun constante geklaag is een potentiële bedreiging voor consultants, diploma-printers en software-verkopen maar gelukkig is de risicomanagement-gemeenschap tegen hen opgetreden en negeert hen gewoon.
Desalniettemin zult u zich als professionele kwalitatieve risicoanalist, of risicomanager, soms tegen dat soort mensen moeten verweren. Ze begrijpen vaak geen MBA-speak, dus u zult hun taal moeten leren spreken. Het vervolg van dit artikel geeft u de benodigde munitie om aan te tonen hoe belachelijk hun argumenten zijn. We zullen eerst kijken naar de twee combinaties uit Figuur 3 die de kwantitatieve risicoanalist nog begrijpt en laten zien hoe onpraktisch die zijn. Daarna duiken we in een van de meest populaire combinaties en zullen ons verwonderen over de magnifieke risicomanagement-inzichten die deze biedt.
De A,A optie met vermenigvuldiging
Figuur 4 toont een voorbeeld waarbij de kans- en impact-schalen aritmetisch stijgen en hun scores zijn vermenigvuldigd:
Figuur 4: Impact toenemend met stappen van €2M, Kans toenemend met stappen van 20%
Wiskundigen houden hiervan. Ze zeggen dan dat in deze figuur ieder risico-punt evenveel waard is. In dit voorbeeld €400k. Wiskundigen missen hier twee dingen:
- Ze realiseren zich niet dat indexwaarden op zich niks betekenen. Die zijn er alleen om het kleurtje bij het vakje en de risicomanagementstrategie te bepalen;
- Hoewel de waarschijnlijkheidsscaal best redelijk is, is de impactschaal belachelijk – niemand gaat zeggen dat een verlies van €2M Zeer Laag is! En what about Gezondheid en Veiligheid – waar Very Low een mens kan zijn met een geschaafde knie, en Very High een dode, of meerdere doden, of heel heel veel doden. Vijf geschaafde knieën is niet hetzelfde als een menselijke ramp!
Dit is duidelijk van geen waarde voor risicomaagement in de echte wereld.
De M,I optie met optelling
Figuur 5 toont een voorbeeld waarin kans- en impactschalen geometrisch toenemen met dezelfde factor, en de scores zijn opgeteld.
Figuur 5: Impact en kans nemen toe met een factor 10
Wiskundigen zeggen dat ze deze ook wel mooi vinden. Ze zeggen dat als dezelfde factor k (hier: 10) wordt gebruikt, de verschillen in indexwaarden tussen risico’s gelijk zijn aan hoeveel k keer het ene risico groter is dan het andere. Bijvoorbeeld: Een risicoscore van 7 is 1000 (10 x 10 x 10) keer zo groot als een risico met score 4. Toegegeven, dat klopt op zich, maar dan mist men alweer twee punten:
- De twee gemarkeerde vlakjes moeten nu oranje zijn in plaats van groen, voor de consistentie. Dit betekent dat een top-risico (Very High score voor zowel kans als impact) nooit groen kan worden door ofwel de kans ofwel de impact superklein te maken, hetgeen de hele waarde van risicomanagement ondermijnt;
- Deze keer is de kans-schaal volledig belachelijk! Niemand haalt het in z’n hoofd om na te denken over kansen van 0.0001 of 0.001, dus alle risico’s eindigen met een Medium, High of Very High kans en worden oranje of rood. Executives en andere Belangrijke Mensen worden heel onrustig van zo veel oranje en rood, hetgeen slecht risicomanagement is.
Een heel handig heat map score-systeem
Er is duidelijk een makkelijker methode nodig. De meest voor de hand liggende oplossing is om een aritmetische schaal te gebruiken voor de kans en een geometrische schaal voor de impact. Zoiets als de heat map in figuur 6. Er worden ook intervallen gebruikt in plaats van punt-schattingen. Omdat we weten dan Risico = Kans x Impact, vermenigvuldigen we uiteraard de indices. Dit is een volstrekt ormaal gebruik, bewezen in vele jaren aan risicorapportages, en het is in gebruik bij allerlei bedrijven over de hele wereld. Hetzelfde doen binnen uw bedrijf geeft u derhalve een competitief voordeel.
Figuur 6: Een voorbeeld van het meest gebruikelijke type risico heat map
Dit type geeft inzichten die gewoonweg niet naar voren zouden komen als we wiskunde hadden gebruikt. Bijvoorbeeld:
- Het blijkt duidelijk uit de matrix dat geen enkel risico meer dan één keer kan voorkomen. Dit alleen al maakt de enorme inspanning om de heat map te maken, de moeite waard. Stakingen, ongelukken, overstromingen, wat dan ook – als ze zijn voorgekomen, kunnen ze uit de risico heat map worden gehaald. Het strategische inzicht dat dit met zich meebrengt, is onmetelijk groot;
- Voor een risico met een Very Low kans is het nooit de moeite om geld te besteden om de impact te verkleinen want de score blijft toch hetzelfde! In de echte wereld hebben de meeste risico’s een kans kleiner dan 20% dus de besparingen kunnen enorm zijn! Deze besparingen alleen al die de kwalitatieve risicoanalisten behalen voor hun bedrijf maken hun hogere salarissen boven wat mensen die wiskunde gebruiken meer dan goed, waardoor ze hun MBA-collegegeld kunnen terugbetalen;
- Het is efficient risicomanagement om pre-mitigering risico’s te waarderen met een kans vlak boven de grenzen van de categorieën. Dit maximeert de kosten/baten-balans van willekeurig welke risicomanagementstrategie want door de kans maar iets kleiner te maken, verandert de kleur. Senior management ziet gelijk de toegevoegde waarde nu de veilige kleurtjes snel toenemen. Hetzelfde geldt voor impacts.
- Richt u altijd op risicomanagementstrategieën die de kansen verminderen, nooit de impacts. Een risico met 30% kans bijvoorbeeld en een impact van €5M, geeft een score van 8. Als u de kans kunt halveren of de impact kunt halveren, is de keus duidelijk – halvering van de kans doet de score naar 4 dalen en het risico verandert van oranje naar groen, terwijl halvering van de impact de score of de kleur niet zou veranderen! Kwantitatieve risicoanalisten kunnen het senior management niet zo’n klip en klaar succesverhaal geven.
Samenvattend
De additionele inzichten door kwalitatieve risicoanalyse zijn eenvoudig te berekenen en simpel toonbaar door heldere, aantrekkelijk ogende, simpele schema’s. In de huidige tijd waar simpel, snel en visuele aantrekkelijkheid essentiële elementen zijn van de hoogste kwaliteit van rapportage die executives eisen, is het niet vreemd dat kwalitatieve ERM-systemen zo populair zijn en zo duur.
Als uw budget niet toelaat een kwalitatief ERM-systeem aan te schaffen, hebt u drie mogelijkheden, in volgorde van wenselijkheid:
- Spaart totdat u zich er wél een kunt veroorloven;
- Maak eenExcel-template – dat kan gewoon aan de hand van een van de vele Youtube-video’tjes daarover;
- Koop Pelican, een kwantitatief ERM-systeem, uit Brussel, België. … Nee, ik heb niet eens aandelen.
En ten slotte:
[Ook een soort risicomanagement…; Toronto]
3 thoughts on “Heat maps lezen: Zo doe je dat”