Het gebruik van een risicomatrix vindt veel plaats in organisaties om risico’s te prioriteren. Voor Seveso-bedrijven is het zelfs verplicht om een risicomatrix te hanteren voor het evalueren van de aanwezige majeure risico’s. In mijn ogen is de risicomatrix methodiek prima geschikt om vast te stellen of iets veilig* genoeg is en om investeringsbeslissingen te onderbouwen, mits op de juiste manier gebruikt. In mijn werk ben ik vele verschillende risicomatrices tegen gekomen, en nog veel meer variatie in de manier waarop deze gebruikt worden door verschillende groepen van mensen. Het is te gemakkelijk om af te geven op de beperkingen van een risicomatrix, zoals ik nog eens lees op social media. Feitelijk kun je elke methodiek bekritiseren als deze niet goed gebruikt wordt. 

Zo las ik laatst een notitie van Andrew Hopkins waarin hij o.a. het volgende stelt na het reviewen van enkele bedrijfsrisicomatrices:

• Beslissingsbevoegdheid om ‘gele en oranje’ risico’s toch te accepteren hoort niet hierarchisch te worden ingeregeld. Eens. Veel beter is het om ALARP-demonstratie toe te passen..
• Baseer je alleen op effecten, en niet op kans en effect (omdat kansinschattingen te lastig zijn voor veel teams) Niet eens.
• Administratieve beheersmaatregelen verlagen de kans; PBMs het effect. Niet eens
• Risicomatrix-denken moet vervangen worden door Bowtie-denken. Niet eens

Over ALARP wordt trouwens met geen woord gerept. Gemiste kans.

Ik ben het niet eens met het merendeel van Andrew’s beweringen. Ik heb de indruk dat hij onvoldoende ervaring heeft met het toepassen ervan in de praktijk. Risicodenken is wel degelijk krachtig als het goed wordt toegepast. De risicoruimte (zeker in Nederland) is te beperkt om alleen effect-benaderingen toe te passen, hoe verleidelijk soms ook (eenvoudiger).

Hieronder 9 tips die helpen om een risicomatrix wel goed te gebruiken:

1. De risicomatrix moet voldoende specifiek zijn met duidelijke criteria voor zowel de effect- als kans categorieën. Voor de kans-as is een kwantificering (frequenties) absoluut nodig (om effecten met (bedrijfs-)casuïstiek te kunnen vergelijken).
2. Risico is niet kans x effect, maar effect x kans. Stel van ongewenste scenario’s eerst het potentiële effect vast, en dan pas de kans hierop (niet op de initiële gebeurtenis, zoals je mogelijk gewend bent bij LOPA)
3. Risico-matrices hebben een diagonaal waarover het risico hetzelfde is. Dat betekent dat teams die een verschillende inschatting maken van een potentieel effect toch op hetzelfde risico uitkomen omdat vaak de kans op een ernstiger effect kleiner wordt ingeschat. Staar je dus niet blind op de precieze vakjes, maar op de hoogte van het risico.
4. Documenteer goed op basis waarvan een (multidisciplinair!) team kiest voor een bepaalde effect- en kans categorie. De LOPA-methodiek dwingt dit al min of meer af, hoewel ook daar het goed loggen essentieel is voor duidelijkheid later.
5. Gebruik bij kans (of beter gezegd frequentie) inschattingen zowel  beschikbare richtlijnen als je eigen bedrijfservaring. De inschatting die je als team maakt moet matchen met je onderbuikgevoel als je het scenario scherp hebt (bediscussieerd).
6. Naakte risico’s goed inschatten is lastig omdat je een theoretische situatie (zonder de maatregelen die er al jaren zitten) lastig goed kunt inschatten. Gebruik dus de beschikbare richtlijnen maar beoordeel daarna of het restrisico (dus inclusief aanwezige – technische en organisatorische – maatregelen) matcht met jullie bedrijfservaring.
7. De meeste (risicoreducerende) maatregelen verlagen de kans op een potentieel effect (omdat bijna alle maatregelen kunnen falen). Dat geldt ook voor pbm’s. Alleen als ze goed, volledig en altijd worden gedragen (en onderhouden) zorgen ze voor minder persoonlijk letsel. Voor een tankdijk kun je wellicht wel beargumenteren dat die er altijd is.
8. Door een risicomatrix te gebruiken wordt je gedwongen om kritisch na te denken over wat er mis kan gaan, wat de effecten kunnen zijn en hoe groot het risico hierop is. De methodiek is derhalve een hulpmiddel bij het bepalen welke situaties veilig* genoeg zijn, en welke situaties niet. Gebruik de methodiek dus ook op die manier.
9. Train train train de mensen die jouw risico’s moeten beoordelen met de risicomatrix. Maar feitelijk is dat iedereen, want met een goede risicomatrix kun je op de werkvloer zo beoordelen hoe groot eventuele mogelijke risico’s zijn. Zorg dat risicodenken goed is ingeregeld in jouw organisatie.

Durf jij jullie risicomatrix eens te laten benchmarken? Neem contact met me op.

*=Lees ‘veilig’ breder als met jouw risicomatrix ook milieu-, kwaliteit, economische- en business/reputatie gevolgen beoordeeld kunnen worden.