Vorige week vertelde ik over strategisch risico management. Vanaf deze week leg ik in vier posts uit hoe je je geïdentificeerde risico’s kunt beoordelen, zodat je weet waarmee je aan de slag moet. Vandaag leg ik uit hoe risico classificatie in de meeste organisaties wordt uitgevoerd.

Risico scoring

De meeste organisaties starten met het inventariseren van hun risico’s (welke risico’s zijn er überhaupt) en gaan daarna over op de beoordeling (scoring) van deze risico’s. Doel hiervan is er achter komen welke risico’s het meest belangrijk zijn voor de organisatie en waarop actie genomen moet worden. Deze beoordeling gebeurt eigenlijk altijd aan de hand van twee factoren:

Kans: hoe groot is de kans dat dit risico zich voordoet? Vaak wordt deze kans ingeschat binnen een bepaalde periode, bijvoorbeeld een kalenderjaar. De schaal kan dan lopen van 1x per dag, 1x per week, 1x per maand, 1x per kwartaal naar 1x per jaar.

Impact: wat is de mogelijke impact van het risico op mijn organisatie? Ook hier wordt op een schaal beoordeeld, vaak de financiële impact, zoals beginnend bij minder dan €100 oplopend naar miljoenen euro’s.

De kans en impact scores per risico worden vervolgens vermeldigvuldigd om tot een risicoscore te komen. Bijvoorbeeld kans = 4 en impact =2. Risicoscore is dan 4 x 2 = 8. Sommige organisaties gebruiken een schaal met 4 stappen, anderen een schaal met 5 stappen. Voor elk risico wordt zo een score bepaald die op twee assen worden geplaatst waarmee een zogenaamde ‘heatmap’ gemaakt wordt (zie hieronder). Hoe lager de score, hoe minder belangrijk het risico is. De ‘hitte’ wordt door middel van de kleuren aangegeven en geeft visueel weer hoe ernstig het risico is (of kan zijn). Elke organisatie beslist zelf welke scores welke kleur krijgen.

Een heatmap geeft de verspreiding van risico’s weer; hoe meer risico’s zich rechts bovenin bevinden, hoe groter de dreiging. Vice versa voor veel risico’s in de linker onder hoek. Vaak beoordelen organisaties hun risico’s twee keer: de “bruto” score geeft de risico situatie zonder aanwezige beheersmaatregelen aan, de “netto” score geeft de risico situatie mét aanwezige beheersmaatregelen aan. Deze netto score wordt ook wel het restrisico genoemd: welk risico rest mij nog nádat ik maatregelen heb genomen? De netto heatmap kan er dan zo uitzien:

Het verschil tussen de bruto en de netto score van een risico geeft de effectiviteit van de beheersmaatregel weer; de beheermaatregelen is immers ingezet om de kans en/of de impact te verkleinen. Dit wordt ook wel mitigeren genoemd. De bruto score is handig om te kijken welke risico’s de meeste aandacht behoeven. De netto score is handig om te zien of al je risico’s voldoende beheerst zijn.

In mijn volgende post leg ik de aandachtspunten en valkuilen uit.