4.3 Risicoanalyse
prioriteit
Het subproces ‘risicoanalyse’ legt de basis voor de risicobehandeling. De geïdentificeerde risico’s worden verder uitgediept en gespecificeerd. Op basis van de risicoanalyse wordt bepaald welke risico’s met prioriteit behandeling vereisen in de volgende processtap. De risicoanalyse bestaat uit een analyse van het bruto- en nettorisico. Voordat u met deze analyse start, moet eerst iets bekend zijn over de meting van de risico’s die u onder de loep neemt. De methode en uitgangspunten voor het meten zijn in het risicobeleid uitgewerkt. Het meten van risico’s is noodzakelijk voor het kunnen stellen van prioriteiten en het nemen van beslissingen.
4.3.1 Meetbaar maken van risico’s
dimensies
De grootte van een risico bestaat uit twee dimensies:
- De waarschijnlijkheid dat een onzekere gebeurtenis plaatsvindt;
- De impact van deze gebeurtenis op het behalen van een of meerdere doelstellingen.
Een risico wordt meetbaar door een score toe te kennen (van bijvoorbeeld 1 tot en met 5) op zowel een schaal van impact als op een schaal van waarschijnlijkheid.
Een voorbeeld
Een productiebedrijf is bezig om een risicomanagementproces te starten en heeft in het risicobeleid vijf risicothema’s benoemd:
- financieel;
- reputatie;
- veiligheid;
- integriteit;
- kwaliteit benoemd.
Elk risico in het risicoregister wordt geclassificeerd onder een van deze thema’s. In het risicobeleid zijn voor elk van deze thema’s schalen uitgewerkt.
impactschaal
De impactschaal voor het risicothema ‘financieel’ en ‘veiligheid’ heeft het productiebedrijf in een schema uitgewerkt. De twee thema’s zijn als volgt in het beleid opgenomen:
Impactschaal ‘financieel’ en ‘veiligheid’
| Impact ‘financieel’ | Impact ‘veiligheid’ | Score |
| < € 1000 | Niet blijvend letsel zonder doktersbezoek | 1 (nihil) |
| € 1000 - <€ 5000 | Niet blijvend letsel met doktersbezoek | 2 (laag) |
| € 5000 - <€ 25.000 | Niet blijvend letsel met langdurige ziekenhuisopname | 3 (gemiddeld) |
| € 25.000 - < € 100.000 | Ernstig en blijvend letsel | 4 (hoog) |
| > 100.000 | Een of meerdere doden | 5 (extreem) |
Waarschijnlijkheidsschaal
Op vergelijkbare wijze zijn ook de volgende thema’s uitgewerkt in het beleid:
- reputatie;
- integriteit;
- kwaliteit.
Waarschijnlijkheidsschaal
| Waarschijnlijkheid | Score |
| 0 tot 10% kans dat de gebeurtenis binnen 3 jaar plaatsvindt | 1 (zeer onwaarschijnlijk) |
| 10 tot 25% kans dat de gebeurtenis binnen 3 jaar plaatsvindt | 2 (onwaarschijnlijk) |
| 25 tot 50% kans dat de gebeurtenis binnen 3 jaar plaatsvindt | 3 (mogelijk) |
| 50 tot 80% kans dat de gebeurtenis binnen 3 jaar plaatsvindt | 4 (waarschijnlijk) |
| 80 tot 100% kans dat de gebeurtenis binnen 3 jaar plaatsvindt | 5 (zeer waarschijnlijk) |
vergelijking
overall score
U ziet in het tweede schema hoe het productiebedrijf de waarschijnlijkheidsschaal heeft uitgewerkt. Op basis van de twee scores kunt u de risico’s nog onvoldoende prioriteren. Want hoe vergelijk je risico’s met een hoge impact en een lage waarschijnlijkheid met de risico’s met een lage impact en een hoge waarschijnlijkheid? We missen dus nog een overall score. Een dergelijke overall score kan worden gedefinieerd in het beleid in bijvoorbeeld een zogenoemde ‘heat chart’. Dat is een grafische weergave waarin de overall score van een risico kan worden afgeleid op basis van de impactscore en de waarschijnlijkheidsscore. Op basis van deze overall score kan het risico worden afgezet tegen de risicobereidheid van de organisatie
Heat Chart
Een risico met een impactscore van 3 en een waarschijnlijkheidsscore van 3 heeft op basis van deze Heat Chart een overall score van 13. Op basis van de gedefinieerde risicobereidheid is dit risico acceptabel, maar moet de ontwikkeling van het risico wél gemonitord worden.
Bij deze Heat Chart is een overall risico lager dan 7 (licht paars) acceptabel en is er geen monitoring nodig op risico-ontwikkeling. Een score van 7 tot 15 is gemiddeld en nog acceptabel, maar ontwikkeling van risico’s moet wel gemonitord worden. Een overall risico tussen 16 en 19 is hoog en onacceptabel, al is een tijdelijke acceptatie onder voorwaarden toegestaan. Elke score boven 19 heeft een topriscio (donkerpaars) en is geheel onacceptabel.
4.3.2 Bruto- en nettorisico’s analyseren
Bij de risicoanalyse onderzoekt u elk risico in verschillende stappen:
1. Nadere analyse van het risico
De mogelijke aanleidingen of bronnen van het risico bespreekt u uitvoerig in de groep. U gaat na of het risico zich al eens eerder heeft voorgedaan bij de eigen organisatie of bij andere organisaties en u bespreekt de impact.
2. Impact en waarschijnlijkheid van het brutorisico inschatten
Als het risico voldoende is onderzocht, bepaalt de groep de score van het brutorisico op de impactschaal en de waarschijnlijkheidsschaal. Iedere deelnemer van de groep kiest, zonder overleg met andere deelnemers, een eigen score en levert deze in bij de facilitator.
consensus
toelichting
beheersingsmechanismen
Deze zet de scores van de deelnemers op een rijtje en bepaalt of er consensus is over de scores. Als bijvoorbeeld sommige deelnemers een score van 5 hebben gekozen en andere deelnemers een score van 1, is er geen consensus. De facilitator geeft dan de deelnemers de gelegenheid om een toelichting te geven op hun (afwijkende) score. Na eventuele discussie kan zo nodig nogmaals gestemd worden waaruit hopelijk wel consensus blijkt.
3. Inventariseren reeds getroffen tegenmaatregelen
score
De groep inventariseert wat de bestaande beheersingsmechanismen zijn. Daarna bespreekt u het effect van deze maatregelen op de impact of de risicowaarschijnlijkheid.
4 Inschatten impact en waarschijnlijkheid van het nettorisico
Nu bepaalt u wat de score is van het nettorisico op de impactschaal en de waarschijnlijkheidsschaal. Dit gebeurt op dezelfde manier als bij het brutorisico.
5 Bijwerken risicoregister
risicoregister
De resultaten van de risicoanalyse werkt u ten slotte uit in het risicoregister. Het risicoregister vormt daarmee de basis voor de volgende processtap: de risico-evaluatie.
De resultaten van de risicoanalyse kunnen tijdens of na afloop van de workshop gepresenteerd worden in de heat chart. Dit geeft veel inzicht aan de groep over de samenhang tussen het brutorisico, het nettorisico en de impact van bestaande beheersingsmechanismen.