Risicoanalyse maken: de uitleg
Risicoanalyse: in dit artikel wordt het concept risicoanalyse praktisch uitgelegd. Het artikel begint met de definitie van Risicoanalyse, gevolgd door een beschrijving van het verschil tussen kwantitatieve risicoanalyse en kwalitatieve risicoanalyse. Ook vind je een voorbeeld van de risicoanalyse-matrix, een populaire tool om risico’s in kaart te brengen, en leest u over verschillende mitigatiestrategieën. Veel plezier met lezen!
Wat is een risicoanalyse?
Organisaties staan vaak bloot aan tal van dreigingen met de daaraan samenhangende risico’s. Een risico bestaat uit de kans dat de dreiging werkelijkheid wordt, en het gevolg hiervan.
Vaak worden de dreigingen tijdig opgemerkt en wordt er adequaat op geanticipeerd, maar soms leiden organisaties flinke verliezen door slecht risicomanagement, waar risicoanalyse een onderdeel van is. Risicoanalyse helpt organisaties om de dreigingen in kaart te brengen waarna er mogelijk passende maatregelen genomen worden.
Een methode om dreigingen te identificeren is de SWOT analyse. Met deze analyse worden kwetsbaarheden, zwaktes en dreigingen vastgesteld.
Vervolgens moet er vastgesteld worden hoe groot het risico is dat de dreiging werkelijkheid wordt en welke consequenties dat heeft voor de bedrijfsprocessen. Daarna moet de afweging gemaakt worden of de kosten van de maatregelen opwegen tegen de kosten van het incident of gevolg.
Vormen van risicoanalyse
Over het algemeen wordt er onderscheid gemaakt tussen twee soorten risicoanalyse:
In een kwantitatieve risicoanalyse worden de financiële risico’s van een dreiging berekend, gebaseerd op theoretische modellen. De risico’s worden in een kwantitatieve risicoanalyse altijd uitgedrukt in meetbare criteria.
Vaak is het de computer die op een dergelijke manier de risico’s simuleert. Kwantitatieve risicoanalyse wordt bijvoorbeeld gebruikt door investeerders die een investering willen rechtvaardigen door de verhouding tussen het risico en het rendement aan te tonen.
In kwalitatieve risicoanalyses worden schattingen gemaakt van de gelopen risico’s. Kwalitatieve risicoanalyses gaan vaak uit van mogelijke scenario’s, waarna vaak een ‘worst case’ en ‘best case’ scenario ontstaat.
Het geeft onder meer een beter inzicht over het gedrag en cultuur van de mensen in een organisatie. Kwalitatieve risicoanalyses komen vaker voor in kleine ondernemingen. De dreiging wordt vaak ingeschat door vuistregels te gebruiken of door onderbuikgevoelens.
Het is van belang dat er een goede balans is tussen kwantitatief en kwalitatief risicomanagement. Statistische gegevens helpen bij het inschatten van de (financiële) risico’s, maar ook de menselijke kant is zeer belangrijk.
Het kan inzicht geven over waarom mensen bepaalde acties wel of niet uitvoerden in het verleden, hoe ze de risico’s aanpakten of hoe de bedrijfscultuur veranderd werd.
Risicoanalyse en risicofactoren
Een aantal risico’s is hetzelfde voor veel organisaties. Dit kan het risico op klantverlies zijn, maar ook het risico op falende bedrijfsprocessen of het nemen van verkeerde beslissingen. Andere risico’s zijn gerelateerd aan een specifieke branche of onderneming.
Veel factoren zorgen ervoor dat een organisatie wordt blootgesteld aan risico’s. Hierbij wordt onderscheid gemaakt tussen interne en externe factoren.
Externe factoren
- Demografische factoren
- Sociologische ontwikkelingen
- Politieke situaties
- Economische factoren
- Natuurlijke oorzaken
- Technologische ontwikkelingen
Interne factoren
- Bedrijfscultuur
- Personeelsrisico
- Interne organisatie
- Technologie
Een risicoanalyse maken plus maatregelen: een voorbeeld
Of er daadwerkelijk maatregelen genomen worden na het identificeren van een risico hangt af van een aantal factoren. Nadat de risico’s geïdentificeerd zijn kunnen de risico’s worden ingevuld in een risk-assessment matrix. Een voorbeeld van een dergelijke matrix is weergegeven hieronder.
Door het invullen van de matrix wordt goed overzichtelijk weergegeven welke dreigingen en risico’s prioriteit hebben. Over de Y-as wordt de waarschijnlijkheid dat het risico werkelijkheid wordt weergegeven.
De X-as geeft duidelijkheid over hoeveel impact de verwachte dreiging gaat hebben op het bedrijfsproces of op de organisatie in het geheel. De verschillende dreigingen kunnen een kleur toegewezen krijgen op basis van de urgentie.
Nadat alle risico’s in kaart zijn gebracht kunnen er maatregelen genomen worden. Verschillende soorten maatregelen die genomen kunnen worden zijn:
Vermijden
Het vermijden van risico’s is iets wat vaak voorkomt. Wanneer een beleid of bedrijfsproces binnen een organisatie teveel risico’s met zich meebrengt, kan er voor gekozen worden om het beleid of proces te beëindigen, aan te passen of uit te besteden. Deze maatregelen zijn preventief.
Verminderen
Het verminderen van risico’s kan op meerdere manieren. Een vaak voorkomende maatregel die genomen wordt is het nemen van een verzekering. Het aanpakken van de oorzaak van de dreiging hoort ook bij het verminderen van het risico. Deze maatregelen zijn repressief, de schade wordt beperkt.
Overdragen
Wanneer de organisatie risico-avers is, kan er voor gekozen worden om het hele beleid uit te besteden. De betrokken partij neemt dan ook de financiële risico’s voor zijn rekening.
Accepteren
Is het risico te klein, of weegt het niet op tegen de positieve uitkomsten, dan zullen er niet meteen additionele maatregelen genomen worden. Het mogelijke gevolg wordt dan geaccepteerd.
Ook als het risico niet kan worden vermeden, verminderd of uitbesteed, kan een financieel manager beslissen om het risico te accepteren. Het accepteren van een risico wil niet zeggen dat het risico niet beïnvloedbaar is.
Op een later tijdstip kan er alsnog voor gekozen worden om het risico aan te pakken.
Risicoanalyse: evaluatie en integratie
Risicomanagement is een doorlopend proces omdat de omgeving van organisaties constant veranderd. Om effectief te werk te gaan moet daarom tussentijds gemonitord worden.
Na verloop van tijd kan het zijn dat een maatregel niet meer genoeg beschermt tegen de dreiging. Het effect dat de maatregel dan heeft op het risicoprofiel is dan minimaal en zal geüpdatet moeten worden.
De risico-informatie die beschikbaar komt na de analyses is bruikbaar voor besluiten die genomen worden in de toekomst. Bij elk nieuw groot project of ander omvangrijk proces of besluit moet bewust worden stilgestaan bij de risico’s om het negatieve effect zo nodig te minimaliseren.
Risicoanalyse en basisbeveiliging
Zoals duidelijk werd zijn niet alle dreigingen hetzelfde voor elke organisatie, maar komen bepaalde dreigingen vaker terug dan andere. Risicoanalyse wordt bekritiseerd omdat het subjectief, inconsistent, tijdrovend en eentonig zou zijn. Daarom wint de security-baselinebenadering aan terrein.
Dit houdt in dat er een stelsel van algemene beveiligingsmaatregelen gedefinieerd wordt voor de gemiddelde organisatie of voor het gemiddelde bedrijfsproces. Organisaties kunnen door middel van het implementeren van deze security baselines zich weren tegen een aantal vaak voorkomende risico’s.
De security baseline biedt een minimaal beschermingsniveau voor een organisatie of proces onder normale omstandigheden. De security baseline wordt bijvoorbeeld toegepast in de informatie technologie om een netwerk van beveiliging te voorzien, maar steeds vaker wordt er ook in andere sectoren een set kant en klare beveiligingsmaatregelen geïmplementeerd.
Risicoanalyse samenvatting
Voor het behouden van een gunstige concurrentiepositie, maar ook van cashflows, imago of winstgevendheid is het van essentieel belang voor organisaties dat de risico’s inzichtelijk gemaakt worden.
Wanneer alle risico’s geïdentificeerd zijn is het zaak dat ze geprioriteerd worden. Dit kan met behulp van een risicomatrix.
Als blijkt dat het risico anticipatie behoeft kunnen er maatregelen genomen worden. Welke maatregel het beste past bij de specifieke dreiging blijkt uit analyses die uitgevoerd worden naar het mogelijke effect van de dreiging en de waarschijnlijkheid dat de dreiging werkelijkheid wordt. Door het monitoren van maatregelen en risico’s wordt er informatie gewonnen die gebruikt kan worden in toekomstige besluiten.
Nu is het jouw beurt
Wat denk jij? Ben jij bekend met risicoanalyse? Herken jij verschillende soorten risico’s en hoe ga je hiermee om?
Deel jouw kennis en ervaring via het commentaar veld onderaan dit artikel.
Meer informatie
- Vose, D. (2008). Risk analysis: a quantitative guide. John Wiley & Sons.
- Schott, J. R. (2016). Matrix analysis for statistics. John Wiley & Sons.
- Wang, J. J., Jing, Y. Y., Zhang, C. F., & Zhao, J. H. (2009). Review on multi-criteria decision analysis aid in sustainable energy decision-making. Renewable and Sustainable Energy Reviews, 13(9), 2263-2278.
Citatie voor dit artikel:
Janse, B. (2018). Risicoanalyse. Retrieved [insert date] from Toolshero: https://www.toolshero.nl/besluitvorming/risicoanalyse/
Oorspronkelijke publicatiedatum: 08/02/2018 | Laatste update: 05/06/2023
Wilt u linken naar dit artikel, dat kan!
<a href=”https://www.toolshero.nl/besluitvorming/risicoanalyse/> Toolshero: Risicoanalyse</a>