For faster navigation, this Iframe is preloading the Wikiwand page for Risicobeheer.

Risicobeheer

Uit Wikipedia, de vrije encyclopedie

COSO-raamwerk
COSO-raamwerk

Risicobeheer of risicomanagement is een continu proces dat ten aanzien van de doelstelling risico's identificeert, beoordeelt en vervolgstappen definieert. Er zijn verschillende gebieden waarop risicomanagement toegepast kan worden; financieel risicomanagement richt zich op het beheersen van financiële risico's, projectrisicomanagement richt zich op het beheersen van risico's in het realiseren van grote projecten.

Belangrijk is in hoeverre er sprake is van een meetbaar risico of een onmeetbare onzekerheid, meer specifiek Knightiaanse onzekerheid.

Risicomanagement in zes stappen

Het proces van risicomanagement bestaat in veel modellen uit zes stappen: doelstelling vaststellen, risico's identificeren, gevolgen inschatten, risico's beoordelen, risico's beheersen en monitoring.

Doelstelling

De doelstelling is datgene wat een organisatie wil bereiken, bijvoorbeeld het realiseren van omzetgroei, continuïteit, of het afronden van een project binnen een bepaalde begroting of termijn. Het vaststellen van de doelstelling kan geschieden door gebruik te maken van de regels van het SMART-principe. Sinds de Kredietcrisis is de aandacht voor risk appetite, de mate waarin organisaties risico's willen nemen om hun doelstellingen te bereiken, toegenomen. Om risicobeheer te integreren in de bedrijfsvoering zullen organisaties hun risk appetite in samenhang met hun doelstellingen moeten bepalen, communiceren en monitoren.[1]

Risico's identificeren

Een risico is een onzekere gebeurtenis met mogelijke gevolgen voor de doelstelling. De gebeurtenis doet zich voor door interne en/of externe oorzaken. De interne oorzaken hebben invloed op de activiteiten, welke samen met de externe oorzaken het doel (de doelstelling) beïnvloeden. De beïnvloeding heeft vervolgens weer gevolgen, welke mogelijk nieuwe risico's vormen. Een risico kan in de termen van het risicomanagement zowel positief als negatief zijn. Een negatief risico wordt ook een gevaar, bedreiging, downside risk of statisch risico genoemd. Een positief risico wordt ook een kans of upside risk genoemd. Een dynamisch risico is een risico dat zowel positief als negatief kan zijn of worden.

Voor risico-identificatie (ook risicoanalyse of event ivent identification) kan onder meer geschieden met behulp van de volgende modellen: SWOT, RISMAN, DESTEP/PESTEL, Vijfkrachtenmodel, PIOFACH en een combinatie van het vijfkrachtenmodel en het DESTEP-model.

Inschatten

Vervolgens worden risico's ingeschat op kans van optreden en op mogelijke gevolgen. Dit kan gekwantificeerd worden, maar ook kwalitatieve inschattingen van risico's kunnen nuttig zijn. De beoordeling en klassificatie van risico's gaat volgens de Kinney-methode of de verwachte waarde methode.

Verwachte waarde = kans x gevolg
Kinney-methode = kans x gevolg x blootstelling

De kans van voorkomen wordt vastgesteld als een percentage. Als een gebeurtenis eens in de 100 jaar zal voorkomen, dan mag de kans als 1% genoteerd worden.

Beoordelen

Er wordt een risicoacceptatiegraad vastgesteld, dit is het risico dat bijvoorbeeld een bedrijf hooguit wil nemen om de doelstelling te behalen. Uit de risicoacceptatiegraad is af te leiden of het risico wordt opgezocht (risicozoekend) of ontweken (risicoavers). Twee factoren die meespelen bij het bepalen van de risico acceptatiegraad zijn de gevolgen en de waarschijnlijkheid. De beoordeling van risico's kan visueel worden weergegeven in een risicomatrix of riskmap en/of een Likelihood-diagram.

Beheersen

Twee elementen die centraal staan in het beheersen van risico's zijn de maatregelen en de reacties. Een risico zonder beheersmaatregelen wordt een bruto of inherent risico genoemd. Een risico waarop beheersmaatregelen worden genomen worden vervolgens kleiner ingeschat, en kunnen restrisico's (residual risk) genoemd worden. Beheersmaatregelen zijn preventief, waarbij beoogd wordt de kans van voorkomen af te nemen, of repressief, waarbij beoogd wordt de gevolgen te reduceren. Er zijn twee soorten beheersmaatregelen, te weten: hard controls (afspraken en richtlijnen) en soft controls (gericht op het functioneren van medewerkers).

Er zijn vier soorten reacties: vermijden (of voorkomen, terminate), reduceren (of verminderen, treat), overdragen (of uitbesteden, transfer) en accepteren (take). Risico's kunnen worden vermeden door drastische maatregelen, bijvoorbeeld bij brandgevaar al het houten meubilair te vervangen door staal. Het beheersen kan bijvoorbeeld door het meubilair brandwerend te maken en overdragen door een brandverzekering af te sluiten.

Monitoring

Monitoring gebeurt in de loop van het proces, en kunnen middels indicatoren gemonitord worden (Key Risk Indicator en Key Control Indicator) samen ook wel de Early Warning Indicators genoemd.

Binnen het vakgebied van risicobeheersing wordt onderscheid gemaakt tussen de volgende typen:

  • Operationele risico's. Dit zijn gevolgen die kunnen optreden bij het uitvoeren van het werk waar de organisatie voor in het leven is geroepen. Een voorbeeld is een koersfluctuatie waardoor de inkomsten van een multinational anders uitpakken na omwisseling van de valuta.
  • Financiële risico's. Dit is het risico dat de financiële verslaglegging van de organisatie afwijkt van de werkelijkheid. Een voorbeeld is de waarde van de inventaris die afwijkt van wat daadwerkelijk in de inventaris zit door verkeerde tellingen of door onvoorzien verlies vanwege schade of diefstal.

Onderzoek

Karel de Bakker heeft onderzoek gedaan naar de effectiviteit van risicomanagement. Het resultaat was dat vooral de initiële risicosessie bijdroeg aan risicobewustzijn en aan het beheersen van risico's. Lijstjes bijhouden en rapporteren doen dat niet.[2]

Risicobeheer binnen ITIL

Binnen het referentiekader van ITIL wordt risicobeheer in ITIL 4 beschreven als een van de 34 beste praktijkoplossingen binnen het servicewaardesysteem. Er wordt benadrukt dat risico's niet alleen verband houden met bedreigingen, maar ook met kansen. Richtlijnen voor risicobeheer zijn gegeven in ISO-standaard 31000: 2018.[3] In voorloper ITIL V3 wordt risicobeheersing weliswaar kort aangestipt als aspect binnen het verandermanagement, maar komt het als aparte functie niet voor.[4]

Zie ook

{{bottomLinkPreText}} {{bottomLinkText}}
Risicobeheer
Listen to this article

This browser is not supported by Wikiwand :(
Wikiwand requires a browser with modern capabilities in order to provide you with the best reading experience.
Please download and use one of the following browsers:

This article was just edited, click to reload
This article has been deleted on Wikipedia (Why?)

Back to homepage

Please click Add in the dialog above
Please click Allow in the top-left corner,
then click Install Now in the dialog
Please click Open in the download dialog,
then click Install
Please click the "Downloads" icon in the Safari toolbar, open the first download in the list,
then click Install
{{::$root.activation.text}}

Install Wikiwand

Install on Chrome Install on Firefox
Don't forget to rate us

Tell your friends about Wikiwand!

Gmail Facebook Twitter Link

Enjoying Wikiwand?

Tell your friends and spread the love:
Share on Gmail Share on Facebook Share on Twitter Share on Buffer

Our magic isn't perfect

You can help our automatic cover photo selection by reporting an unsuitable photo.

This photo is visually disturbing This photo is not a good choice

Thank you for helping!


Your input will affect cover photo selection, along with input from other users.