Best Practise: Ken de hoogste HSE risico’s

Geplaatst op door

Wie grip wil houden op veiligheid, moet weten welke risico’s de organisatie echt kunnen raken: risico’s die kunnen leiden tot ernstig letsel, langdurige uitval of het stilvallen van de bedrijfsvoering. Toch zijn juist die grootste risico’s niet altijd scherp in beeld is mijn ervaring.

In de praktijk zie ik grote verschillen in hoe hiermee wordt omgegaan. Soms zijn risico’s overzichtelijk vastgelegd en besproken. Vaker zijn ze versnipperd over rapporten, onderzoeken en analyses, zonder samenhangend overzicht. Dan bestaan ze wel op papier, maar niet als onderwerp van besluitvorming.

Wat ik regelmatig zie, is dat specialisten risico’s kennen waarvan ze weten dat verdere beheersing lastig of kostbaar is. Uit loyaliteit of voorzichtigheid blijft dat dan hangen binnen die afdeling. Het hogere management wordt niet of slechts beperkt betrokken. Dat is begrijpelijk, maar onwenselijk. Wie besluiten moet nemen, kan dat alleen doen op basis van volledige informatie.

Daar komt bij dat risico’s soms pas zichtbaar worden als er iets misgaat. Bij een eerdere werkgever maakte ik een ernstig incident mee rond een risico dat tot dat moment bij niemand expliciet in beeld was. Dat onderstreept hoe belangrijk het is om risico’s niet impliciet te laten bestaan.

Als er iets misgaat, ligt de verantwoordelijkheid uiteindelijk bij het management. Dat betekent ook dat risico’s die onderdeel zijn van de bedrijfsvoering zijn geaccepteerd ook als daar nooit bewust een besluit over genomeen is. Ik denk: beter expliciet dan impliciet.
Ken de grootste risico’s, beoordeel of ze voldoende zijn beheerst, en als verdere verlaging niet mogelijk of wenselijk is, leg dan vast dat dit een bewust besluit is.

Het begrip risicoacceptatie wordt door sommigen gezien als een makkelijke ‘way out’: het risico accepteren en er vervolgens niets meer aan doen. In mijn ervaring is juist het tegenovergestelde het geval. Veel risico’s worden impliciet geaccepteerd: het werk gaat door terwijl bekend is dat het risico hoog is, zonder dat daar ooit expliciet en aantoonbaar een besluit over is genomen. Er is geen proces geweest waarin is geëvalueerd of het risico verder kan worden verlaagd, wie daarvoor verantwoordelijk is en onder welke voorwaarden het werk mag doorgaan. Dat is geen bewuste keuze, maar het ontbreken daarvan. In de veiligheidspraktijk is dit een bekend mechanisme dat bijdraagt aan het ontstaan van ernstige incidenten.

Expliciete risicoacceptatie betekent dat een risico eerst zo ver als redelijkerwijs mogelijk wordt gemitigeerd en pas daarna, als het risico nog steeds hoog is, bewust wordt geaccepteerd door het juiste managementniveau. Dat besluit wordt vastgelegd en periodiek herbeoordeeld. In gangbare kaders voor risicomanagement en veiligheid wordt deze expliciete afweging gezien als een belangrijk onderdeel van goed bestuur en duidelijk eigenaarschap.

In mijn ervaring leidt risicoacceptatie daarom niet tot gemakzucht, maar juist tot actie en snellere mitigatie. Een hoog risico dat expliciet wordt geaccepteerd krijgt eigenaarschap op managementniveau en daarmee urgentie. Risicoacceptatie is geen makkelijk eindpunt, maar een middel om te voorkomen dat grote risico’s stilzwijgend blijven bestaan.

Wat zijn die hoogste risico’s?

Iedere organisatie met aanzienlijke risico’s heeft (of zou moeten hebben) een risicomatrix. Met hulp van deze matrix kun je de risico’s beoordelen. De exacte vorm verschilt, maar het gaat altijd om dezelfde vraag: welke risico’s bepalen echt de veiligheid en continuïteit van de organisatie? In de praktijk zullen dat de middelgrote en grote (oranje en rode) risico’s zijn.

En beoordeel hierbij zowel de initiële risico’s (het risico dat ontstaat als er géén enkele beheersmaatregel aanwezig zou zijn) als de resterende risico’s (het werkelijke risico in de praktijk, het risico dat je organisatie op dit moment loopt als alle maatregelen functioneren).

Waarom is het belangrijk die te kennen?

Omdat je anders niet weet of tijd en veiligheidsinvesteringen aan de juiste zaken worden besteed. Het is goed mogelijk dat er veel energie gaat naar het verder verkleinen van relatief beperkte risico’s, terwijl grotere risico’s nauwelijks veranderen.

Daarnaast ben je als organisatie niet ‘in control’ als je je grootste risico’s niet kent en niet hebt bekeken of ze verder te verlagen zijn.

En ten slotte: als er ooit een ernstig incident plaatsvindt, een ongeval met dodelijke afloop bijvoorbeeld, wil je niet het gevoel hebben dat dit voorkomen had kunnen worden of niet eens zeker weten of dit voorkomen had kunnen worden.

Hebben we dit niet al afgedekt met onze proces risico analyses?

Proces risico analyses als HAZOP geven inzicht in specifieke technische risico’s. Maar ze dekken niet alles. Ook arbeidsveiligheid, externe invloeden en omgevingsrisico’s verdienen aandacht.

Een breder overzicht ontstaat door risico’s organisatiebreed te inventariseren en naast elkaar te leggen, in plaats van ze alleen per discipline te bekijken. Dit kun je bijvoorbeeld doen door een HAZID sessie te organiseren.

Best practices die ik heb gezien:

  • Organiseer een sessie met alle deskundigen en laat ieder individu, er zijn geen foute antwoorden, risico’s benoemen die relevant zijn voor de locatie of organisatie of start met een HAZID en gebruik een checklist met alle mogelijke risico’s. Ga na welke daarvan relevant zijn.
  • Bepaal grofweg het risicogetal voor alle relevante risico’s met behulp van de risicomatrix.
  • Maak inzichtelijk welke risico’s er echt toe doen voor de organisatie.
  • Kijk kritisch of deze risico’s verder kunnen worden verlaagd, en zo ja: hoe en wanneer.
  • Als verdere verlaging redelijkerwijs niet mogelijk is, leg vast dat dit een bewust besluit is, genomen op het juiste niveau.
  • Blijf deze risico’s volgen en herijk ze periodiek, zeker na incidenten of bijna-incidenten.

Randvoorwaarden

  • er een duidelijke en gedragen manier is om risico’s te beoordelen;
  • helder is wie welke risico’s mag accepteren;
  • besluiten worden vastgelegd en periodiek worden herzien.

Tot slot

Door de grootste risico’s te identificeren (of expliciet te maken), te beheersen en regelmatig opnieuw te beoordelen, hou je als organisatie grip op veiligheid.

En bij jullie? Zijn de grootste veiligheidsrisico’s expliciet in beeld — en is ook expliciet besloten hoe daarmee wordt omgegaan?

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *