5.3 Het risicobehandelingsproces

De risicobehandeling bestaat uit drie subprocessen die achtereenvolgens worden behandeld:

• het identificeren van beheersingsalternatieven.
• het kiezen van het meest gunstige beheersingsalternatief.
• het implementeren van het beheersingsalternatief.

5.3.1 Identificeren van beheersingsalternatieven

oorzaken

Voor het identificeren van beheersingsalternatieven moet u de oorzaken achter de risico’s geanalyseerd hebben. Deze analyse heeft al plaatsgevonden tijdens de risicobeoordeling. Zonder een identificatie van de (mogelijke) oorzaken is het niet mogelijk om bruikbare beheersingsalternatieven te definiëren. Immers, beheersingsalternatieven zijn gericht op de oorzaken achter de risico’s. Daarnaast kunnen maatregelen gericht zijn op het verkleinen van de impact van nadelige gebeurtenissen. Op basis van de risico’s en oorzaken kunt u verschillende beheersingsalternatieven identificeren. Er is geen standaardrecept voor het identificeren van beheersingsalternatieven.

intuïtie

schatting kosten

Als er meerdere beheersingsalternatieven zijn gedefinieerd, kunt u er natuurlijk voor kiezen om op basis van intuïtie een keuze te maken, maar voor een objectief besluit is het beter eerst de kosteneffectiviteit van elk beheersingsalternatief in te schatten. Dit betekent dat u van elk beheersingsalternatief een schatting maakt van de te maken kosten. Dit betreffen niet alleen de kosten voor implementatie, maar vooral ook de kosten om de controle op lange termijn in stand te houden.

Ook moet u een inschatting maken van de relatieve voordelen van elk alternatief. Dit kunt u doen door een schatting te maken van de risicoreductie van elk beheersingsalternatief.

Een voorbeeld:

Een onderneming loopt een risico. Zonder tegenmaatregelen schat het management in dat dit risico jaarlijks voor een schadepost van € 100.000 (€ 100k) zal zorgen. Dat vindt het management van de onderneming een veel te hoog bedrag.

kosten-
effectiviteit

Het management wil een maximaal risico lopen van € 25.000 (€ 25k) op jaarbasis. Een werkgroep heeft op verzoek van het management drie beheersingsalternatieven ontwikkeld en in de volgende tabel opgenomen:

Alternatief A heeft de meest gunstige kosteneffectiviteit, maar leidt niet tot een vermindering van het nettorisico tot beneden de € 25.000. Van alternatief B en C heeft alternatief B de meest gunstige kosteneffectiviteit. De werkgroep stelt daarom voor te kiezen voor alternatief B.

besluit

Het nadeel van deze methode is dat u alle risico’s in een geldbedrag moet waarderen en uitdrukken. Voor de financiële risico’s is dit natuurlijk geen probleem: als de impact van een risico wordt ingeschat op € 30.000 per keer en als dit risico, zonder tegenmaatregelen, zich driemaal per jaar voordoet, dan kan dit risico ‘gewaardeerd’ worden op € 90.000 per jaar. Voor de niet-financiële risico’s is het moeilijker om de kosteneffectiviteit te bepalen: de impact is niet in een geldbedrag uit te drukken. U kunt dit praktisch oplossen door bij de ‘waardering’ van het risico het bijbehorende geldbedrag te hanteren uit de financiële impactschaal.

5.3.2 Het meest gunstige beheersingsalternatief kiezen

implementeren

De volgende stap is het nemen van een formeel besluit om het beheersingsalternatief daadwerkelijk te implementeren. Het ligt voor de hand te kiezen voor de beheersingsalternatieven met de meest gunstige kosteneffectiviteit. Als sprake is van meerdere risico’s, is het zinvol te bepalen welke beheersingsalternatieven u het beste als eerste implementeert. Het is aan te bevelen te starten met het alternatief met de hoogste kosteneffectiviteit.

5.3.3 De beheersingsmaatregel implementeren

projectmatig

De eindstap is het echt implementeren van de beheersingsmaatregel. In sommige gevallen zal sprake zijn van een eenvoudige verandering. In andere situaties zal sprake zijn van een complexe verandering, waarbij bijvoorbeeld ook ‘gedrag’ een rol speelt. Dan pakt u de verandering projectmatig aan.