Risicoanalyse

Objectief, pragmatisch en efficiënt

Van allerlei kanten worden organisaties bedreigd door risico’s. Hoe groot de risico’s zijn, hangt af van het risicoprofiel. Sommigen lopen een inherent risico, bijvoorbeeld vanwege een politieke of religieuze aard, potentieel gevaarlijke processen of de aanwezigheid van waardevolle goederen. Incidenten en calamiteiten kunnen flinke schade opleveren of zelfs het einde van de organisatie zijn, als er geen gedegen risicomanagement wordt toegepast. Maar vaak wordt risicomanagement bekritiseerd omdat het subjectief zou zijn. Hoe definieer je risico’s objectief en hoe borg je deze in een norm? Wij helpen je graag. 

Wat is een risicoanalyse?

De relatie tussen dreiging, risico’s en kwetsbaarheden.

Een risicoanalyse is een cruciale stap in het beoordelen en beheren van potentiële bedreigingen, risico’s en kwetsbaarheden voor organisaties. Het omvat het identificeren, evalueren en prioriteren van risico’s om effectieve maatregelen te nemen. Zo kun je als bedrijf proactief reageren op diverse uitdagingen. 

Risicoanalyse illustratie

Verschil tussen dreigingen en risico's

Bij een dreiging is er specifieke informatie dat er iets staat te gebeuren dat schade aan een van de activa van de organisatie kan toebrengen. Het kan gaan om omgevingsdreigingen (brand), technische dreigingen of menselijke dreigingen. Bij een risico is er geen specifieke informatie dat er iets staat te gebeuren. De kans is alleen niet uitgesloten [bron]. 

Het is belangrijk om dreigingen en risico’s in kaart te brengen. Wanneer het gaat om IT-systemen zijn kwetsbaarhedenscans en penetratietesten zeer betrouwbare middelen om te analyseren hoe een organisatie ervoor staat qua weerbaarheid.

Confrontatiematrix risicoanalyse illustratie

Hoe kwantificeer je risico's?

De uitspraak is stokoud, maar nog steeds waar:

Risico = Kans x Impact


Oftewel de waarschijnlijkheid dat iets gebeurt, vermenigvuldigd met de gevolgen van de gebeurtenis. Risico’s kunnen kwalitatief (door ervaring van stakeholders) of kwantitatief (met behulp van theoretische modellen) worden gescoord. Deze beoordeling heet een risicoanalyse.
 

Een voorbeeld van risicoanalyse

Er wordt wel eens gezegd dat het risico van een tikfout groot is. Maar dat moeten we nuanceren: hoewel de kans dat iemand een tikfout maakt in een offerte groot is, is de impact meestal klein. In een situatie waarbij er vrijwel geen marge voor fouten is, zoals bij een hartoperatie of een configuratie van een kerncentrale, kan de impact catastrofaal zijn. In deze gevallen spreek je van heel andere risico’s voor dezelfde gebeurtenis. 

Interne audit

Het doel van risicoanalyse en risicomanagement

Organisaties kunnen verschillende doelen hebben met een risicoanalyse en risicomanagement. Bijvoorbeeld het borgen van de business continuity, het creëren van security awareness of om de verantwoordelijkheid van stakeholders vast te stellen en ze daarop aan te spreken. 

Een belangrijke factor in risicomanagement is de zogenaamde Risk Appetite. Oftewel: hoeveel trek heeft een organisatie in dit risico? Wat is de ambitie; hoever willen we gaan om dit risico te mitigeren? Het is verstandig om de beoordeling van risico’s niet alleen intern te beleggen, maar ook externe hulp erbij in te schakelen. Zelf ben je al snel gedeformeerd en een externe blik kan een nieuw licht schijnen op risico’s die intern als vanzelfsprekend of niet belangrijk worden gezien. Het perspectief bepaalt de perceptie.

Uiteindelijk komt het neer op balans tussen kosten en baten van maatregelen. Mitigeren van risico’s kan met kansverlagende maatregelen (preventief; bijvoorbeeld een goed toegangscontrolebeleid en -systeem) of met effectbeperkende maatregelen (repressief; bijvoorbeeld verzekeren). In sommige situaties kan het risico in zijn geheel worden overgedragen aan een externe partij of, indien kosten en baten niet meer in balans zijn, kan ervoor worden gekozen om het risico te accepteren. 

Risicoanalyse is een continu proces

“Zal ik het rapport voor je in de la leggen, of doe je dat zelf?” Het opleveren van een rapportage is niet het moment om achterover te leunen. Een goede risicoanalyse is gebaseerd op het PDCA model van Deming [bron]. Plan, Do, Check, Act. Zodra omstandigheden veranderen, moet worden bedacht wat de gevolgen zijn voor de risico’s. Naast deze ad hoc controle, is periodiek meten en bijsturen van het grootste belang. Het meten van het effect van een maatregel kan op basis van gebeurtenissen in het verleden, een schatting van deskundigen of op basis van een simulatie (zoals een penetratietest). Is een getroffen maatregel effectief gebleken? Dan kan het risico omlaag worden bijgesteld.  

Newmorn' Plan Do Check Act - PDCA cirkel

Ervaren specialisten in risicoanalyse

We haalden het al eerder aan: vaak is het verstandig om externe hulp in te schakelen bij een risicoanalyse. Niet alleen kennen onze mensen de tools als hun broekzak, ze zijn ook zeer bedreven en ervaren in het wegen van risico’s. De frisse blik van een Newmorn’ consultant geven vaak een heel ander perspectief op een risico.

Door het inschakelen van externe hulp, borg je onafhankelijkheid en objectiviteit in jouw risicoanalyse. Onze specialisten zijn daarbij ervaren in het adviseren bij en auditen van normeringen (ISO 9001, ISO 27001, AVG en meer). Mocht je een stap verder willen zetten na een risicoanalyse, bieden wij je een one-stop-shop ervaring.

Newmorn consultant Jodi van Duyne

Jordi van Duyne

Ga je graag in gesprek met een deskundige op het gebied van Risicoanalyse? Neem dan gerust contact op met Jordi van Duyne, Consultant en Auditor bij Newmorn’.