U bent hier

Onderneming & Administratie
Risicomanagement2. Risicobeoordeling2.3 Risicoanalyse
Voor Onderneming & Administratie

2.3 Risicoanalyse

Dit artikel is eerder verschenen als Themadossier FA Rendement
Publicatiedatum: april 2025

prioriteit

Het subproces ‘risicoanalyse’ legt de basis voor de risicobehandeling. De geïdentificeerde risico’s worden in dit proces verder uitgediept en gespecificeerd. Op basis van de risicoanalyse bepaal je welke risico’s de onderneming met prioriteit wil behandelen. 
De risicoanalyse bestaat uit een analyse van het bruto- en nettorisico. Voordat je met deze analyse start, moet eerst iets bekend zijn over de meting van de risico’s die je onder de loep neemt. De methode en uitgangspunten voor het meten zijn in het risicobeleid van de onderneming uitgewerkt.

Het meten van risico’s is noodzakelijk voor het kunnen stellen van prioriteiten en het nemen van beslissingen. Het is dus belangrijk om risico’s goed te meten.

2.3.1 Meetbaar maken van risico’s

waarschijnlijkheid

impact

De grootte van een bepaald risico bestaat uit twee dimensies:

  • de waarschijnlijkheid dat een onzekere gebeurtenis plaatsvindt;
  • de impact van deze gebeurtenis op het behalen van een of meerdere doelstellingen.

Een risico wordt meetbaar door een score toe te kennen (bijvoorbeeld van 1 tot en met 5) op zowel een schaal van impact als op een schaal van waarschijnlijkheid. Op die manier kun je de risico’s met elkaar vergelijken.

Praktijkvoorbeeld

risicothema

Stel dat een productiebedrijf bezig is om een risicomanagementproces te starten. In het risicobeleid zijn vijf risico­thema’s benoemd:

  • financieel;
  • reputatie;
  • veiligheid;
  • integriteit;
  • kwaliteit.

risicoregister

Elk risico in het risicoregister van deze onderneming wordt geclassificeerd onder een van deze thema’s. In het risicobeleid van het productiebedrijf zijn voor elk van deze thema’s schalen uitgewerkt.

Impactschaal

De impactschaal voor de risicothema’s ‘financieel’ en ‘veiligheid’ heeft het productiebedrijf uit het hiervoor genoemde voorbeeld in een schema uitgewerkt. De twee thema’s zijn als volgt in het beleid opgenomen:

Impact ‘financieel’ Impact ‘veiligheid’ Score
< € 1000 Niet-blijvend letsel zonder doktersbezoek 1 (nihil)
€ 1000 – < € 5000 Niet-blijvend letsel met doktersbezoek 2 (laag)
€ 5000 – < € 25.000 Niet-blijvend letsel met langdurige ziekenhuisopname 3 (gemiddeld)
€ 25.000 – < € 100.000 Ernstig en blijvend letsel 4 (hoog)
> € 100.000 Een of meerdere doden 5 (extreem)

Waarschijnlijkheidsschaal

Op vergelijkbare wijze zijn ook de volgende thema’s uitgewerkt in het beleid:

  • reputatie;
  • integriteit;
  • kwaliteit.
Waarschijnlijkheid Score
0 tot 10% kans dat de gebeurtenis binnen 3 jaar plaatsvindt 1 (zeer onwaarschijnlijk)
10 tot 25% kans dat de gebeurtenis binnen 3 jaar plaatsvindt 2 (onwaarschijnlijk)
25 tot 50% kans dat de gebeurtenis binnen 3 jaar plaatsvindt 3 (mogelijk)
50 tot 80% kans dat de gebeurtenis binnen 3 jaar plaatsvindt 4 (waarschijnlijk)
80 tot 100% kans dat de gebeurtenis binnen 3 jaar plaatsvindt 5 (zeer waarschijnlijk)

Overall score

heat chart

risicobereidheid

Op basis van deze twee scores kun je de risico’s nog onvoldoende prioriteren. Er mist nog een ‘overall score’. Je kunt de overall score definiëren in een zogenoemde ‘heat chart’. Dat is een grafische weergave waarin je de overall score kunt afleiden aan de hand van de impactscore en de waarschijnlijkheidsscore. Op basis van deze overall score kun je het risico afzetten tegen de risicobereidheid van de onderneming.

ontwikkeling monitoren

Een risico met een impactscore van 3 en een waarschijnlijkheidsscore van 3 heeft op basis van deze heat chart een overall score van 13. Op basis van de gedefinieerde risicobereidheid is dit risico acceptabel, maar moet je de ontwikkeling van het risico wél monitoren.

Bij deze heat chart is een overall score lager dan 7 (lichte kleur) acceptabel en is er geen monitoring nodig voor de risico-ontwikkeling. Een score van 7 tot 15 is gemiddeld en nog acceptabel, maar de ontwikkeling van risico’s moet je wel monitoren. Een overall score tussen 16 en 19 is hoog en onacceptabel, al is een tijdelijke acceptatie onder voorwaarden toegestaan. Elke score boven 19 heeft een toprisico (donkere kleur) en is onacceptabel.

2.3.2 Bruto- en nettorisico’s analyseren

bronnen

Bij de risicoanalyse onderzoek je elk risico in de volgende stappen:

1. Nadere analyse van het risico

De mogelijke aanleidingen of bronnen van het risico bespreek je uitvoerig in de groep. Je gaat na of het risico zich al eens eerder heeft voorgedaan bij de onderneming of bij andere ondernemingen en je bespreekt de impact.

2. Impact en waarschijnlijkheid van het brutorisico inschatten

Als het risico voldoende is onderzocht, bepaalt de groep de score van het brutorisico op de impactschaal en de waarschijnlijkheidsschaal. Iedere deelnemer van de groep kiest, zonder overleg met andere deelnemers, een eigen score en levert deze in bij de facilitator.

consensus

De facilitator zet de scores van de deelnemers op een rijtje en bepaalt of er consensus is over de scores. Als bijvoorbeeld sommige deelnemers een score van 5 hebben gekozen en andere deelnemers een score van 1, is er geen consensus. De facilitator stelt de deelnemers dan in de gelegenheid om een toelichting te geven op hun (afwijkende) score. Na een eventuele discussie kan zo nodig nogmaals gestemd worden over het risico.

3. Inventariseren reeds getroffen tegenmaatregelen

effect

De groep inventariseert wat de bestaande beheersings­mechanismen zijn. Daarna bespreek je het effect van deze maatregelen op de impact of de risicowaarschijnlijkheid.

4. Inschatten impact en waarschijnlijkheid van het nettorisico

Nu bepaal je wat de score is van het nettorisico op de impactschaal en de waarschijnlijkheidsschaal. Dit gebeurt op dezelfde manier als bij het brutorisico.

5. Bijwerken risicoregister

De resultaten van de risicoanalyse werk je ten slotte uit in het risicoregister. Het risicoregister vormt daarmee de basis voor de volgende processtap: de risico-evaluatie. De resultaten van de risicoanalyse kun je tijdens of na afloop van de workshop presenteren in een heat chart. Dit geeft veel inzicht aan de groep over de samenhang tussen het brutorisico, het nettorisico en de impact van bestaande beheersingsmechanismen.