• Noodzaak
• Cyclus
• Raamwerk
• Incident Management en Rapportage
• Indicatoren
• Besturing
• Zelfbeoordeling
• Rapportage
• Actieplan

• Home
• Profiel
• Curriculum Vitae
• Algemene voorwaarden

Inleiding

Het Risico-zelfbeoordelingsproces kan onderdeel zijn van de Risicomanagementcyclus.

Deze cyclus bestaat uit de volgende onderdelen:

• risico-identificatie;
• risico-evaluatie;
• risico beheersen;
• risicorapportage

De eerste twee stappen van het Risico-zelfbeoordelingsproces worden kort beschreven in deze notitie. De overige stappen en de achtergronden van de Risicomanagementcyclus worden in aparte documenten beschreven. In plaats van gebruik te maken van een risico-zelfbeoordeling, kunnen deze eerste twee stappen uitgevoerd worden op basis van interviews of expertdoorlichting.

Uitgangspunten van het risico-zelfbeoordelingproces

Het proces start bij de directie, eventueel aangevuld met afdelingsmanagers, met het uitvoeren van een Directie-risicobeoordeling. Hierin beoordeelt de directie de mate van risico en beheersing van de risico’s in de bedrijfsvoering, en of deze risico’s de doelstellingen van de organisatie in gevaar kunnen brengen.

De overige afdelingen voeren indien nodig een Afdelings-risicobeoordeling uit die in feite hetzelfde bewerkstelligt voor de eigen afdelingsdoelstellingen.


Er zijn verschillende manieren, waarop dit kan plaatsvinden:

• door workshops per afdeling met een relevante vertegenwoordiging van de betreffende afdeling;
• door enquêtes, al dan niet elektronisch uitgevoerd, zo nodig aangevuld met specifieke workshops of interviews;
• door individuele of paarsgewijze interviews met een relevante vertegenwoordiging van de betreffende afdeling.

Risico-identificatie

Er wordt eerst gekeken naar de zogenaamde bruto risico’s (de risico’s die aanwezig zijn voordat iets aan beheersing ervan is gedaan) en vervolgens naar de aanwezige beheersmaatregelen. De risico’s kunnen worden geclassificeerd naar gebeurtenis of naar oorzaak. Indien de risico’s worden geclassificeerd naar gebeurtenis, dan zullen deze nadien worden geclassificeerd naar oorzaak.

Welke manier wordt gekozen wordt bepaald door het gemak voor de betreffende groep, opdat deze stap goed en zo snel mogelijk kan worden uitgevoerd.

Risico-evaluatie

De Risico-evaluatie vindt kwalitatief plaats aan de hand van ‘Risico-impact’ en ‘Waarschijnlijkheid’.

Risico-impact is de mate waarin het risico het behalen van de organisatiedoelstellingen en het uitvoeren van de strategie door de organisatie / de afdeling negatief zou beïnvloeden. Waarschijnlijkheid is de mate van waarschijnlijkheid dat, gebaseerd op de eigen kennis en ervaring van de beoordelaar(s), een risico voorkomt.

Het risico (zowel bruto als na het treffen van werkende beheersmaatregelen) is het product van Risico-impact en Waarschijnlijkheid. De uitkomsten van deze vermenigvuldiging worden dan vergeleken met een tabel ‘Risicotolerantie’.

Wanneer uit te voeren

De Directie-risicobeoordeling kan men beginnen tijdens het budget proces of aan het begin van het kalenderjaar met als vervolg de Afdelings-risicobeoordeling. Om de samenhang tussen de verschillende onderdelen te waarborgen moet een cyclus van Directie-risicobeoordelingen en de Afdelings-risicobeoordeling en wel afgerond zijn binnen 12 maanden.

Het is normaliter niet nodig het hele proces jaarlijks uit te voeren. Wel is het zinvol jaarlijks Directie-risicobeoordelingen uit te voeren en aan de hand van die uitkomst te bepalen of en zo ja de Afdelings-risicobeoordeling moet plaats vinden. De Afdelings-risicobeoordeling moet ten minste eens in de drie jaar uitgevoerd worden.