Na het volgen van de stappen risicomanagementstrategie en risicobeleid zijn we aangekomen bij stap 3, de risicoanalyse. Met een risicoanalyse wordt er gekeken welke risico’s er zijn en wat hier de dreigingen en eventuele gevolgen van kunnen zijn en hoe de risico’s beheerst kunnen worden. Een goede risicoanalyse bestaat uit een aantal stappen en die bespreken we in dit artikel.
Risico-identificatie
De risicoanalyse valt uiteen in twee stappen: de risico inventarisatie en -evaluatie. Dus, we beginnen met het inventariseren van de risico’s voor uw organisatie. Dit kan aan de hand van een aantal methodes gedaan worden. Denk hierbij aan: self-assessment, best-practice, scenarioplanning of workshops. Wij ervaren dat een combinatie van de best-practice en workshops het meest effectief is. Voordat u de risico-identificatie kunt afronden, moet uw organisatie ook hebben gekeken naar de volgende risicogebieden: de strategische- en tactische risico’s, multidisciplinaire risico’s en de niet beïnvloedbare risico’s. Deze punten kunt u ook zien als een soort checklist, zodat er geen risico’s vergeten worden.
Met risicogebieden bedoelen we de organisatieaspecten (bijv. leiderschap, cultuur, werkplek, processen, imago) waar uw organisatie risico op kan lopen. Maar denk ook aan strategische- en tactische risico’s. De neiging is om de focus te leggen op de operationele risico’s, omdat uw organisatie hier dagelijks mee geconfronteerd kan worden. Vaak zijn deze risico’s al afgedekt door de primaire processen. Focus daarom, naast de operationele risico’s, ook op de strategische- en tactische risico’s. Wees ook multidisciplinair, en laat collega’s of externe hierbij aansluiten om hun bevindingen te laten geven. Hiermee vergroot u de effectiviteit van de risico-identificatie.
Vergeet niet, er zijn altijd risico’s waar u of uw organisatie geen invloed op uit kan oefenen. Hoewel uw organisatie deze risico’s niet kan verkleinen, zijn er wel degelijk mogelijkheden of maatregelen die de gevolgen beperkt kunnen houden.
Risico evaluatie: waardering & tolerantie
Na het identificeren van de risico’s moet uw organisatie bepalen welke risico’s de meeste aandacht nodig hebben, oftewel welke waardering krijgen de risico’s? Bij het risicobeleid heeft uw organisatie al aangegeven welke bereidheid ze als organisatie hebben. Om de waardering van de risico’s meetbaar te maken, moet er op uniforme wijze per individueel risico beoordeeld worden. Hier zijn verschillende methodes voor, dit kan bijvoorbeeld door het risico uit te drukken in een getalswaarde als uitkomst van kans*impact. Maar het kan ook door systemen die automatisch een uniforme waardering geven aan de risico’s, dit gebeurt nadat er een aantal specifieke vragen per risico zijn beantwoord.
Als de risico’s gewaardeerd zijn, is ook de tolerantie per risico bekend. Vergeet hierbij niet de drempelwaarde vast te stellen. De drempelwaarde geeft aan welke risico’s boven of onder de acceptatiegrens van uw organisatie valt. Voor elke risico boven de drempelwaarde moeten er maatregelen getroffen worden. De risico’s die onder de drempelwaarde vallen worden door uw organisatie geaccepteerd met de daarbij horende eventuele schades.
Risicostrategie
Het belangrijkste is natuurlijk het beheersen van de risico’s. Dit kan op 4 manieren. Bijvoorbeeld door de risico’s terug te brengen naar een acceptabel niveau, door bijvoorbeeld het opzetten van acties of werkprocessen anders in te richten. Het vermijden ervan, hetgeen wat het desbetreffende risico creëert beëindigen of het voorgenomen beleid aanpassen of niet uitvoeren. Het overdragen van risico’s, bijvoorbeeld het financiële risico bij een brand. Door het afsluiten van een brandverzekering draagt u het financiële risico over aan een verzekeringsmaatschappij. Als laatste, het accepteren van de risico’s. Als uw organisatie geen aanpassingen doet voor de risico’s gaan ze ermee akkoord dat de gevolgen en dus de eventuele schade voor eigen rekening zijn.
Balans
Alle maatregelen van uw organisatie leiden tot een gebalanceerd en effectieve invulling op de beheersing van de risico’s. Toets regelmatig welk effect uw maatregelen hebben en of er geen verschuivingen zijn binnen de risico’s. Zijn er wellicht nieuwe bijgekomen of hebben andere risico’s ineens prioriteit? Of moet uw organisatie kijken naar andere maatregelen?
Wij begrijpen dat een risicoanalyse niet dagelijks werk is voor u of uw organisatie en dat hier veel werk bij komt kijken. Wilt u graag meer informatie of wilt u graag ondersteuning? Neem dan contact met ons. Wij helpen u graag!