De risicoweging is de laatste stap in de risicoanalyse. De gevonden bedreigingen op bedrijfsmiddelen en -processen worden geschat op hun waarschijnlijkheid en op de mogelijke impact. Risico is vervolgens waarschijnlijkheid x impact. Daardoor ontstaat een indeling van de gevonden risico’s: risico’s waarvan de waarschijnlijkheid relatief klein is versus risico’s waarvan de waarschijnlijkheid relatief groot is. Tevens is er inzicht in risico’s met relatief veel potentiële impact versus risico’s met relatief weinig potentiële impact.
Men kan op eenvoudige wijze de waarschijnlijkheid en impact van een risico met elkaar in verband brengen in een risicomatrix. Hierbij bevinden de grootste risico’s zich rechtsboven: grote waarschijnlijkheid, grote impact.
Voorbeeld van een risicomatrix
Na de risicoweging heeft de organisatie zicht op de risico’s en op de relatieve grootte ervan. Dat vormt de basis voor een discussie die na de risicoanalyse wordt gevoerd, namelijk de discussie of de gevonden risico’s aanleiding vormen om aanvullende maatregelen te nemen. Het is belangrijk dat het management betrokken wordt bij deze discussie of minstens haar goedkeuring aan de aanvullende maatregelen hecht.