Risicomanagement is een steeds belangrijker onderdeel van de bedrijfsvoering. Niet alleen om risico’s te beheersen maar ook om kansen te zien en te verzilveren. Er zijn vele, min of meer complexe theoretische modellen en principes die wij proberen terug te brengen naar de kern om het eenvoudig en praktisch uitvoerbaar te houden.
In deze blog leggen we je uit hoe te beginnen met risicomanagement.
Het doel van risicomanagement
Het doel van risicomanagement is om risico’s te identificeren, te beoordelen en erop te reageren. Het proces dat een organisatie idealiter hanteert voor risicomanagement is een duidelijk gedefinieerde methode om te begrijpen welke risico’s en kansen aanwezig zijn, hoe ze de organisatie zouden kunnen beïnvloeden en hoe erop te reageren.
De 4 essentiële stappen van het proces rondom risicomanagement zijn:
1. Identificeer het risico.
2. Beoordeel het risico.
3. Behandel het risico (blog).
4. Monitor en rapporteer over het risico.
Hieronder gaan we verder in op stap 1, het identificeren van risico’s en stap 2, het beoordelen van risico’s.
Stap 1: Identificatie van het risico
De eerste stap in het risicomanagementproces is het identificeren van alle gebeurtenissen die negatieve (risico) of positieve (kans) invloed kunnen hebben op de doelstellingen van de organisatie. Deze gebeurtenissen kunnen worden opgenomen in een risicoregister.
Je kunt deze risico’s natuurlijk zelf uitschrijven maar dat is best een hoop werk. Perium biedt jou daarom de oplossing. Binnen Perium zijn de meest voorkomende en relevante Security en Privacy risico’s al opgenomen en beschikbaar voor jouw organisatie. Je hoeft ze alleen nog maar te beoordelen (zie stap 2).
Met Perium kun je alle mogelijke risico’s eenvoudig bijhouden en mocht je specifieke risico’s toe willen voegen, dan kan dat in een paar klikken.
Het is van belang dat risico’s eigenaren hebben. Dit zijn de medewerkers die verantwoordelijk zijn voor het risico en de kennis en het mandaat hebben om het risico te beheersen. In het Perium platform voeg je eigenaren en gerichte acties toe om de risico’s op te lossen.
Stap 2: Beoordeel het risico
Er zijn vele manieren om een risicobeoordeling, ook wel risico assessment genoemd, uit te voeren. Van een pragmatische workshop met een aantal medewerkers tot aan gedetailleerd beschreven methodieken. Het is van belang dat de aanpak goed aansluit bij de behoefte van de organisatie en dat de juiste mensen betrokken zijn bij deze stap. We adviseren wel de aanpak te documenteren, zodat dit proces herhaalbaar is en (steeds) betrouwbaar(der) wordt.
Het beoordelen van risico’s en met name ook het vastleggen van het resultaat van die beoordeling kun je in Perium doen. Je registreert efficiënt de resultaten van het proces, onafhankelijk van de het proces dat je als organisatie hebt gevolgd.
Hoe voer ik een risicobeoordeling uit?
In feite zijn er twee belangrijke elementen die vastgesteld moeten worden:
1. De risicoscore (kans x impact)
2. De risicostrategie
Deze elementen hebben invloed op jouw risicobeheersing. Wanneer je de risicoscore bepaalt, krijg je namelijk een overzicht van de kans dat risico’s zich voordoen en de impact die deze risico’s kunnen hebben op de bedrijfsvoering. Vervolgens ga je met de risicostrategie de risico’s beheersen tot een acceptabel niveau.
De risico score
Met een risicobeoordeling stel je vast hoe groot de kans is dat het risico werkelijkheid wordt en welke impact dat zou hebben voor de organisatie. De resultaten worden vastgelegd in de risicotabel met een score op het bruto risico (ook wel inherent risico voordat je beheersmaatregelen gaat treffen) en het netto risico (ook wel restrisico nadat je beheersmaatregelen hebt getroffen). De kans en impact worden veelal gescoord op een schaal van 1 (lage kans, weinig impact) tot en met 5 (grote kans, veel impact). De kans maal de impact is de risicoscore.
Een bruto risico is dus een risico zonder beheersmaatregelen en een netto risico is een risico inclusief (actieve) beheersmaatregelen. Idealiter worden eerst de kans en gevolgen van een bruto risico ingeschat en wordt vervolgens nagegaan of er al beheersmaatregelen zijn die de kans op of de gevolgen van het risico verkleinen. Als de bestaande beheersmaatregel functioneel cq effectief is, is de kans of het gevolg van het netto risico lager. Voor je organisatie is het uiteraard van belang om te weten hoe deze risico score zich verhoudt tot de risicotolerantiegrens.
De risicotolerantiegrens heeft betrekking op het risico dat de organisatie kan en bereid is te dragen. Vooraf wordt goedkeuring gegeven op de drempelniveaus van blootstelling aan risico’s. Bij overschrijding dient er bijvoorbeeld naar het management geëscaleerd te worden. Het niveau van het risico wordt bepaald door de score van het netto risico (= kans x impact) en wordt vergeleken met de risicotolerantiegrens. Het resultaat van deze stap geeft inzicht in welke risico’s acceptabel of niet acceptabel zijn.
Ook deze elementen (risicoscore, kans en impact, bruto en netto risico, risicotolerantiegrens) zijn beschikbaar in Perium. Perium stelt daarnaast ook de koppeling tussen de risico’s en mogelijke beheersmaatregelen beschikbaar. Op deze manier beheers je de risico’s overzichtelijk op één plek.
Risicostrategie
De vervolgstap is te bepalen hoe je de risico’s, die je als organisatie niet acceptabel vindt, wilt beheersen en terug wilt brengen naar een acceptabel niveau. Er zijn verschillende manieren om een risico te beheersen of te mitigeren:
- Vermijden. Wanneer bijvoorbeeld beleidskeuzes of een bedrijfsproces binnen je organisatie te veel risico’s met zich meebrengt, kan ervoor gekozen worden om het beleid te wijzigen of het proces te beëindigen.
- Verminderen. Het aanpakken van de oorzaak van de dreiging hoort ook bij het verminderen van het risico. Er wordt met beheersmaatregelen geprobeerd de kans en impact te verminderen. Deze maatregelen zijn zoals dat heet repressief, de schade wordt beperkt.
- Overdragen. Wanneer de organisatie risico-avers is, kan ervoor gekozen worden om bijvoorbeeld een heel proces uit te besteden. De partij die het proces overneemt, neemt dan ook de risico’s voor zijn rekening. Dit wordt ook wel transfereren of uitbesteden genoemd.
- Accepteren. Is het risico te klein, of weegt de nodige investering niet op tegen de positieve uitkomsten na het treffen van beheersmaatregelen? Het mogelijke gevolg van het optreden van het risico wordt dan geaccepteerd.
De risicostrategie bepaal je dus aan de hand van de risicoscores en het soort risico dat je loopt en uiteindelijk ook bereid bent te lopen. In Perium, het platform voor risicomanagement kun je deze afweging gemakkelijk maken, omdat je alle risico’s bij de verantwoordelijke personen hebt belegd, de risico scores inzichtelijk hebt en ook weet in welke mate je bereid bent risico’s te nemen.
Op basis van bovenstaande stappen kun je als organisatie bepalen hoe met de risico‘s moet worden omgegaan in een risicobehandelplan. In de volgende blog gaan we hier verder op in en besteden we ook aandacht aan het monitoren en rapporten van risico’s.
Risicomanagement met Perium
Voor elke organisatie is het risicomanagement een belangrijke stap. Met Perium voer je dit effectief en efficiënt uit. Perium is het platform voor risicobeheersing. Binnen een half uur ben je al up and running. Daarnaast voeg je eenvoudig specifieke beheer wensen toe aan het platform.