Risicoanalyse

Objectief, pragmatisch en efficiënt

Van allerlei kanten worden organisaties bedreigd door risico’s. Hoe groot de risico’s zijn, hangt af van het risicoprofiel. Sommigen lopen een inherent risico, bijvoorbeeld vanwege een politieke of religieuze aard, potentieel gevaarlijke processen of de aanwezigheid van waardevolle goederen. Incidenten en calamiteiten kunnen flinke schade opleveren of zelfs het einde van de organisatie zijn, als er geen gedegen risicomanagement wordt toegepast. Maar vaak wordt risicomanagement bekritiseerd omdat het subjectief zou zijn. Hoe definieer je risico’s objectief en hoe borg je deze in een norm? Wij helpen je graag. 

Wat is risicoanalyse?

De relatie tussen dreiging, risico’s en kwetsbaarheden.

risicoanalyse-300x300

Verschil tussen dreigingen en risico's

Bij een dreiging is er specifieke informatie dat er iets staat te gebeuren dat schade aan een van de activa van de organisatie kan toebrengen. Het kan gaan om omgevingsdreigingen (brand), technische dreigingen of menselijke dreigingen. Bij een risico is er geen specifieke informatie dat er iets staat te gebeuren. De kans is alleen niet uitgesloten [bron]. Het is belangrijk om dreigingen en risico’s in kaart te brengen. Wanneer het gaat om IT-systemen zijn kwetsbaarhedenscans en penetratietesten zeer probate middelen om te analyseren hoe een organisatie ervoor staat qua weerbaarheid.

confrontatiematrix-risicoanalyse-kans-impact

Hoe kwantificeer je risico's?

Het adagium is stokoud, maar nog steeds waar:

Risico = Kans x Impact


Oftewel de waarschijnlijkheid dat iets gebeurt, vermenigvuldigd met de gevolgen van de gebeurtenis. Risico’s kunnen kwalitatief (door ervaring van stakeholders) of kwantitatief (met behulp van theoretische modellen) worden gescoord. Deze beoordeling heet een risicoanalyse.
 

Voorbeeld

Er wordt wel eens gezegd dat het risico van een tikfout groot is. Maar dat moeten we nuanceren: hoewel de kans dat iemand een tikfout maakt in een offerte groot is, is de impact meestal klein. In een situatie waarbij er vrijwel geen marge voor fouten is, zoals bij een hartoperatie of een configuratie van een kerncentrale, kan de impact catastrofaal zijn. In deze gevallen spreek je van heel andere risico’s voor dezelfde gebeurtenis. 

Het doel van risicoanalyse en risk management

Organisaties kunnen verschillende doelen hebben met een risicoanalyse en risk management. Bijvoorbeeld het borgen van de business continuity, het creëren van security awareness of om de verantwoordelijkheid van stakeholders vast te stellen en ze daarop aan te spreken. 

Een belangrijke factor in risk management is de zogenaamde Risk Appetite. Oftewel: hoeveel trek heeft een organisatie in dit risico? Wat is de ambitie; hoever willen we gaan om dit risico te mitigeren? Het is verstandig om de beoordeling van risico’s niet alleen intern te beleggen, maar ook externe hulp erbij in te schakelen. Zelf ben je al snel gedeformeerd en een externe blik kan een nieuw licht schijnen op risico’s die intern als vanzelfsprekend of onbeduidend worden gezien. Het perspectief bepaalt de perceptie… 
 
Uiteindelijk komt het neer op balans tussen kosten en baten van maatregelen. Mitigeren van risico’s kan met kansverlagende maatregelen (preventief; bijvoorbeeld een goed toegangscontrolebeleid en -systeem) of met effectbeperkende maatregelen (repressief; bijvoorbeeld verzekeren). In sommige situaties kan het risico in zijn geheel worden overgedragen aan een externe partij of, indien kosten en baten niet meer in balans zijn, kan ervoor worden gekozen om het risico te accepteren. 

Risicoanalyse is een continu proces

“Zal ik het rapport voor je in de la leggen, of doe je dat zelf?” Het opleveren van een rapportage is niet het moment om achterover te leunen. Een goede risicoanalyse is gebaseerd op het PDCA model van Deming [bron]. Plan, Do, Check, Act. Zodra omstandigheden veranderen, moet worden bedacht wat de gevolgen zijn voor de risico’s. Naast deze ad hoc controle, is periodiek meten en bijsturen van het grootste belang. Het meten van het effect van een maatregel kan op basis van gebeurtenissen in het verleden, een schatting van deskundigen of op basis van een simulatie (zoals een penetratietest). Is een getroffen maatregel effectief gebleken? Dan kan het risico omlaag worden bijgesteld.  

Ervaren specialisten in risicoanalyse

We haalden het al eerder aan: vaak is het verstandig om externe hulp in te schakelen bij een risicoanalyse. Niet alleen kennen onze mensen de tools van haver tot gort, ze zijn ook zeer bedreven en ervaren in het wegen van risico’s. Niet zelden geeft de frisse blik van een Newmorn’ consultant een heel ander perspectief op een risico.

Door het inschakelen van externe hulp, borg je onafhankelijkheid en objectiviteit in jouw risicoanalyse. Onze specialisten zijn daarbij ervaren in het adviseren bij en auditen van normeringen (ISO 9001, ISO 27001, AVG en meer). Mocht je een stap verder willen zetten na een risicoanalyse, bieden wij je een one-stop-shop ervaring. 

Jordi van Duyne

Ga je liever direct in gesprek met een deskundige op het gebied van Risicoanalyse? Neem dan gerust contact op met Jordi van Duyne, Consultant en Auditor bij Newmorn’.