Vandaag stond een zogenoemd ‘risk assessment’ gepland met een aantal managers uit de organisatie. Hier bleek dat iedereen een andere perceptie heeft van de term risico.
Vandaag stond een zogenoemd ‘risk assessment’ gepland met een aantal managers uit de organisatie. We willen een risicokaart maken met hierop de belangrijkste risico’s voor onze organisatie. We hadden hiervoor een half uurtje ingepland en na 20 minuten kwam ik tot de conclusie dat ik het helemaal verkeerd had voorbereid. Er werd volledig langs elkaar heen gepraat en aan het einde van de ‘assessment’ had ik een bontgekleurde risicokaart met bruto risico’s, netto risico’s, oorzaken, gevolg en risk events allemaal door elkaar. Een beetje gedesillusioneerd kwam ik naar buiten. Ik had onvoldoende rekening gehouden met het feit dat iedereen een andere perceptie heeft van de term risico.
Definitie van een risico
Een risico bestaat altijd uit de drie volgende onderdelen: de oorzaak, de risicogebeurtenis en het gevolg. De oorzaak spreekt het meest voor zich: de reden waarom iets verkeerd dreigt te gaan. De risicogebeurtenis is het voorval, kortom wat er fout kan gaan op een bepaalde plaats binnen een bepaald tijdsinterval. Het gevolg is het (ongewenste) resultaat.
Voorbeeld: een cyberaanval
- Risico gebeurtenis: cyberaanval door criminelen van buiten de organisatie.
- Oorzaak: de preventie- en detectiemaatregelen zijn onvoldoende ingericht door de organisatie, waardoor het een cybercrimineel lukt om het netwerk binnen te dringen.
- Gevolg: via het (digitale) netwerk van de onderneming wordt belangrijke informatie of financiële middelen aan de onderneming onttrokken dan wel de dienstverlening van de onderneming wordt belemmerd door de IT-systemen onbereikbaar te maken voor personeel en/of klanten.
Dit voorbeeld geeft direct aan dat we niet de risicogebeurtenis zelf moeten beheersen maar de oorzaak. Als we maatregelen nemen om het cybercriminelen moeilijker maken om binnen te komen of om dit eerder te detecteren, dan wordt de kans verkleind dat de cyberaanval succesvol voor de criminelen zal zijn. Het gaat dus bij risicomanagement om wat de oorzaak van de risicogebeurtenis is. Niet het risico zelf, maar de oorzaak moeten we aanpakken om te voorkomen dat het risico optreedt. We hebben het over ‘risicomanagement’ terwijl de term ‘oorzaakmanagement’ eerder de lading dekt. Al moet ik toegeven dat risicomanagement beter in de oren klinkt.
Soorten risico’s
Er zijn verschillende soorten risico’s. Als auditor begin ik vanzelfsprekend over het ‘inherente risico’ terwijl veel managers denken in ‘netto risico’s’. Het is dus erg belangrijk om vooraf duidelijk te maken over wat voor soort risico’s we praten. Het bruto risico of ook wel inherente risico is het risico zonder rekening te houden met de beheersingsmaatregelen. Door het treffen van beheersingsmaatregelen wordt het bruto risico naar een volgens het management aanvaardbaar niveau teruggebracht. Dit is het netto risico dat je ondanks het nemen van alle maatregelen nog steeds loopt. Het risico van bijvoorbeeld de cyberaanval zonder enige vorm van beschermingsmaatregelen is vrij groot (bruto risico) Door het implementeren van ICT-maatregelen wordt het risico hiervan verkleind (netto risico).
Bruto risico – beheersingsmaatregelen = netto risico
Inschatting van het risico
Wat voor de één een groot risico vormt, is voor de ander verwaarloosbaar. Daarom is het belangrijk dat er een waarde wordt toegekend aan het risico. Op die manier krijgt het risico voor iedereen in de onderneming hetzelfde belang. Waarde toekennen kan door te bepalen wat de kans van optreden is en wat vervolgens de mogelijke impact hiervan is. Dat klinkt misschien simpel, maar hoe bepaal je het risico zonder statistische onderbouwing van historische ervaringscijfers? In veel organisaties wordt een inschatting gemaakt van beide grootheden. De kans van optreden wordt vaak weergegeven op een schaal van 1 tot 5 waarbij 1 weergeeft dat de kans dat de risicogebeurtenis bijvoorbeeld de eerste 3 jaar niet zal optreden. De 5 kan bijvoorbeeld aangeven dat de verwachting is dat het binnen 1 maand vanaf nu op zal treden. De organisatie zelf zal moeten bepalen hoe deze schaalverdeling het best kan worden ingedeeld. Op internet zijn hier veel goede voorbeelden van te vinden. Hetzelfde geldt voor de impact van een risico. Ook hier wordt vaak dezelfde schaal van 1 t/m 5 voor gehanteerd waarbij 1 een verwaarloosbare impact is terwijl een 5 een ernstige bedreiging voor de continuïteit van de organisatie kan betekenen.
Kans optreden risico x impact risico = risicowaarde
Naast bovengenoemde indelingen zijn er meer categorieën denkbaar. Zo kan ook nog het onderscheid gemaakt worden tussen strategische en operationele risico’s. Meer indelingen zijn denkbaar. Voor de beheersing van risico’s is het belangrijkste dat vooraf duidelijk wordt gecommuniceerd aan alle deelnemers van het ‘risk assessment’ welke definities en indeling gehanteerd worden en hoe de risico’s worden ingeschat. Alleen zo is het mogelijk te komen tot een gezamenlijke risicokaart die voor iedereen herkenbaar is.
Bron: Graydon Blog