Risicoanalyse

Objectief, pragmatisch en efficiënt

Van allerlei kanten worden organisaties bedreigd door risico’s. Hoe groot de risico’s zijn, hangt af van het risicoprofiel. Sommigen lopen een inherent risico, bijvoorbeeld vanwege een politieke of religieuze aard, potentieel gevaarlijke processen of de aanwezigheid van waardevolle goederen. Incidenten en calamiteiten kunnen flinke schade opleveren of zelfs het einde van de organisatie zijn, als er geen gedegen risicomanagement wordt toegepast. Echter, vaak wordt risicomanagement bekritiseerd omdat het subjectief zou zijn. Hoe definieer je risico’s objectief en hoe borg je deze in een norm? Wij helpen u graag. 

Wat is risicoanalyse?

De relatie tussen dreiging, risico’s en kwetsbaarheden

risicoanalyse

Verschil tussen dreigingen en risico's

Bij een dreiging is er specifieke informatie dat er iets staat te gebeuren dat schade aan een van de activa van de organisatie kan toebrengen. Het kan gaan om omgevingsdreigingen (brand), technische dreigingen of menselijke dreigingen. Bij een risico is er geen specifieke informatie dat er iets staat te gebeuren. De kans is alleen niet uitgesloten [bron]. Het is belangrijk om dreigingen en risico’s in kaart te brengen. Wanneer het gaat om IT-systemen zijn kwetsbaarhedenscans en penetratietesten zeer probate middelen om te analyseren hoe een organisatie ervoor staat qua weerbaarheid.

confrontatiematrix-risicoanalyse-kans-impact

Hoe kwantificeer je risico’s?

Het adagium is stokoud, maar nog steeds waar:

Risico = Kans x Impact

Oftewel de waarschijnlijkheid dat iets gebeurt, vermenigvuldigd met de gevolgen van de gebeurtenis. Risico’s kunnen kwalitatief (door ervaring van stakeholders) of kwantitatief (met behulp van theoretische modellen) worden gescoord. Deze beoordeling heet een risicoanalyse. 

Voorbeeld

Er wordt wel eens gezegd dat het risico van een tikfout groot is. Maar dat moeten we nuanceren: hoewel de kans dat iemand een tikfout maakt in een offerte groot is, is de impact meestal klein. In een situatie waarbij er vrijwel geen marge voor fouten is, zoals bij een hartoperatie of een configuratie van een kerncentrale, kan de impact catastrofaal zijn. In deze gevallen spreek je van heel andere risico’s voor dezelfde gebeurtenis. 

Het doel van risicoanalyse en risk management

Organisaties kunnen verschillende doelen hebben met een risicoanalyse en risk management. Bijvoorbeeld het borgen van de business continuity, het creëren van security awareness of om de verantwoordelijkheid van stakeholders vast te stellen en ze daarop aan te spreken. 

Een belangrijke factor in risk management is de zogenaamde Risk Appetite. Oftewel: hoeveel trek heeft een organisatie in dit risico? Wat is de ambitie; hoever willen we gaan om dit risico te mitigeren? Het is verstandig om de beoordeling van risico’s niet alleen intern te beleggen, maar ook externe hulp erbij in te schakelen. Zelf ben je al snel gedeformeerd en een externe blik kan een nieuw licht schijnen op risico’s die intern als vanzelfsprekend of onbeduidend worden gezien. Het perspectief bepaalt de perceptie… 
 
Uiteindelijk komt het neer op balans tussen kosten en baten van maatregelen. Mitigeren van risico’s kan met kansverlagende maatregelen (preventief; bijvoorbeeld een goed toegangscontrolebeleid en -systeem) of met effectbeperkende maatregelen (repressief; bijvoorbeeld verzekeren). In sommige situaties kan het risico in zijn geheel worden overgedragen aan een externe partij of, indien kosten en baten niet meer in balans zijn, kan ervoor worden gekozen om het risico te accepteren. 

Risicoanalyse is een continu proces

“Zal ik het rapport voor u in de la leggen, of doet u dat zelf?” Het opleveren van een rapportage is niet het moment om achterover te leunen. Een goede risicoanalyse is gebaseerd op het PDCA model van Deming [bron]. Plan, Do, Check, Act. Zodra omstandigheden veranderen, moet worden bedacht wat de gevolgen zijn voor de risico’s. Naast deze ad hoc controle, is periodiek meten en bijsturen van het grootste belang. Het meten van het effect van een maatregel kan op basis van gebeurtenissen in het verleden, een schatting van deskundigen of op basis van een simulatie (zoals een penetratietest). Is een getroffen maatregel effectief gebleken? Dan kan het risico omlaag worden bijgesteld.  

Tools voor risicoanalyse

Om risicoanalyse makkelijk, objectief en pragmatisch te maken, zijn er tools beschikbaar. Wij ontwikkelden Suresight met standaard voorgedefinieerde risico’s voor de meest voorkomende normen, zoals ISO 9001, ISO 27001 en AVG. Niet alleen de risico’s, maar ook de meest voorkomende maatregelen zijn voorgedefinieerd. Suresight is uniek in de zin dat ook ‘custom’ risico’s en maatregelen kunnen worden aangemaakt. Zo wordt een risicoanalyse standaard waar het kan en maatwerk waar het moet.

Pragmatiek wordt bereikt door het feit dat resultaten uit de risicoanalyse direct worden verwerkt in de controls van een normering. Dit scheelt natuurlijk veel tijd en dus geld. Wat ook een enorme bijdrage levert aan de snelheid van de risicoanalyse, is de mogelijkheid om risico’s toe te wijzen aan verantwoordelijke functionarissen. Zij krijgen direct toegang tot hun toegewezen risico’s en worden gedelegeerd om deze te beoordelen. Vele handen maken immers licht werk. Bovendien zorgt deze betrokkenheid ervoor dat de security awareness verhoogd wordt, evenals het draagvlak voor de norm in de organisatie.

Scoring op kans en impact delen we in op basis van cijfers. Voor kans geldt dat 1 = zeer onwaarschijnlijk en 5 = hoogstwaarschijnlijk. Voor impact doen we dit op eenzelfde manier: 1 = klein gevolg en 5 = bedrijfskritisch gevolg. De vermenigvuldiging van deze twee cijfers levert het risicocijfer op.

 

De baseline is het cijfer dat een organisatie vaststelt als grens van acceptabel. Alle risico’s boven die baseline wordt aangepakt. Daaronder worden ze geaccepteerd.

Ervaren specialisten in risicoanalyse

We haalden het al eerder aan: vaak is het verstandig om externe hulp in te schakelen bij een risicoanalyse. Niet alleen kennen onze mensen de tools van haver tot gort, ze zijn ook zeer bedreven en ervaren in het wegen van risico’s. Niet zelden geeft de frisse blik van een Meridion consultant een heel ander perspectief op een risico.

Door het inschakelen van externe hulp, borgt u onafhankelijkheid en objectiviteit in uw risicoanalyse. Onze specialisten zijn daarbij ervaren in het adviseren bij en auditen van normeringen (ISO 9001, ISO 27001, AVG en meer). Mocht u een stap verder willen zetten na een risicoanalyse, bieden wij u een one-stop-shop ervaring. 

Keuzemogelijkheden bij Risicoanalyse

Bij Meridion kunt u kiezen in welke mate wij u ondersteunen bij Risicoanalyse.
Kies zelf uit onze Menukaart wat het beste bij uw situatie past en vraag meer informatie aan:

Wilt u weten hoe zorgvuldig wij met uw gegevens omgaan? Raadpleeg dan ons Privacy Statement.

Gerben den Dunnen

Gaat u liever direct in gesprek met een deskundige op het gebied van Risicoanalyse? Neem dan gerust contact op met Gerben den Dunnen, Commercieel directeur en Lead Consultant bij Meridion.