Risicoanalyses zijn tegenwoordig heel normaal. Sterker nog, ze worden te pas en te onpas gebruikt om aan te tonen dat organisaties goed zijn ingedekt. Het is dan wel belangrijk dat die analyses op de juiste manier worden uitgevoerd!

Als je kijkt naar het aantal risicomodellen, dan zou je denken dat het eigenlijk niet fout kan gaan. Kijk bijvoorbeeld eens naar de verschillende modellen zoals INK, Lean Six Sigma, ISO 31000,  Risman en Bow-tie. Ze hebben allemaal één ding gemeen: ze brengen risico’s in kaart en wegen deze, met als doel om de juiste maatregelen te kiezen voor het beheersen van de risico’s.

Laten we eens kijken naar wat veel ondernemingen als risico’s zien. Het bedrijf Aon voert sinds 2007 elke twee jaar de Global Risk Management Survey uit. Dit is de top 15 van risico’s wereldwijd:

Risico’s

2019

2017

Economische achteruitgang

1

2

Reputatieschade

2

1

Snel veranderende marktfactoren

3

38

Bedrijfsonderbreking

4

8

Toenemende concurrentie

5

3

Cyberaanvallen / datalekken

6

5

Grondstofprijzen

7

11

Cashflow / liquiditeitsrisico’s

8

12

Onvoldoende innovatief vermogen

9

6

Veranderende wet- en regelgeving

10

4

Aantrekken en behoud toptalent

11

7

Distributie en leveranciers

12

19

Kapitaal / kredietrisico

13

21

Disruptieve technologie

14

20

Politieke onzekerheid

15

9

Als ik naar dit rijtje kijk, dan zie ik risico’s die naar mijn bescheiden mening helemaal geen risico’s zijn, maar problemen. En risico’s en problemen vragen om een verschillende aanpak. Een helder onderscheid tussen risico’s en problemen voorkomt veel misverstanden, en daarmee weer problemen. Maar wat zijn dan risico’s?

Een risico is geen probleem

Veel bedrijven maken gebruik van normeringen of modellen waar een risicoanalyse deel van uitmaakt. Denk aan COSO, COSO ERM, ISO 9000 en ISO 31000, en IT-gerelateerd aan ISO 38500, ITIL, ISO 27000-serie, TOGAF, PMBOK / PRINCE2 en CMMI. En zo kan ik nog wel even doorgaan. Een van mijn persoonlijke favorieten is trouwens de risicoanalyse van COBIT 5, dat wordt gebruikt in de ICT maar ook aandacht geeft aan de businesskant.

Al deze modellen hebben een eigen risicodefinitie, maar die van de NEN-ISO 31000 ‘Richtlijn voor risicomanagement’ is een van de meest pragmatische:

Risico is het effect van onzekerheid op doelen.

ISO 31000 is dan ook de internationale norm voor risicomanagement. De norm biedt een uitgebreide fundering en richtlijnen en helpt organisaties bij hun risicoanalyses en risicoaudits.

Hoe voer je een risicoanalyse uit?

Risicobeoordeling heeft alles te maken met het meten en prioriteren van risico’s, zodat risiconiveaus worden beheerst binnen gedefinieerde tolerantiedrempels. Hiermee wordt voorkomen dat te zware maatregelen worden getroffen of juist mogelijke kansen worden gemist. Een risico waarvan de kans dat het optreedt klein is en waarvan de impact eveneens laag is, zal waarschijnlijk niet in aanmerking komen voor een risicobeperkende maatregel. De kosten wegen dan simpelweg niet op tegen de eventuele schade die men daarmee voorkomt.

Een risicobeoordelingsproces bestaat uit zes stappen:

  1. Identificeren van voor de organisatie kritieke informatie (waarbij ervan wordt uitgegaan dat de verstoring al heeft plaatsgevonden)
  2. Bepalen van de impact (financieel, reputatie etc.) van de verstoringen (Business Impact Analyse)
  3. Inventarisatie van bedrijfsmiddelen en de bedreigingen die zich kunnen voordoen met betrekking tot deze bedrijfsmiddelen
  4. Bepalen van de kans dat een dreiging zich voordoet en van de kwetsbaarheid van de betrokken bedrijfsmiddelen
  5. Vaststellen risicoacceptatiecriteria
  6. Toekennen risicoprioriteit op basis van de formule (impact x kans x kwetsbaarheid)

Het doel van het risicobeoordelingsproces is om de aandacht van het management te richten op de belangrijkste bedreigingen (en kansen!). Dit vormt de basis voor maatregelen ter voorkoming van deze risico’s. Zodat de risico’s geen problemen worden.

Heeft u vragen over ISO 31000, COBIT 5, het in kaart brengen van risico’s, de impact of de invulling van ISO 27001 of de rol van Functionaris Gegevensbescherming? Wij helpen u bij inTECHrity graag verder. U kunt contact met ons opnemen door te bellen naar 085 130 1281 of via onze website www.intechrity.nl. Wij zijn officieel ACP-partner van BSI.