Document toolboxDocument toolbox

Risico management / SWOT

Owned by Barry Nauta (Unlicensed)
Last updated: 21 Nov, 2023 by Paul Kiekens
6 min read

Context

Deze pagina gaat over de verschillende aspecten van risico management, een integraal onderdeel van Enterprise Management.

Analyse

Bij elke actie die we uitvoeren, elk project dat we starten is er altijd een risico. Het is belangrijk (zeker bij IT projecten) om deze risico's te identificeren, classificeren en mitigerende acties te definiëren.

In het kader van Enterprise Architecture is het belangrijk te begrijpen dat alhoewel risico’s door EA geïdentificeerd en gecapteerd worden, dat het het Governance orgaan is dat de risico’s accepteert en beheert.

Er zijn twee niveaus van risico dat we in acht nemen:

  • Initial level of risk - risicocategorisatie vóór het bepalen en uitvoeren van risicobeperkende maatregelen

  • Residual level of risk - risicocategorisatie na het bepalen en uitvoeren van risicobeperkende maatregelen

Risico management process

Er zijn vijf basisstappen die worden genomen om risico's te beheren; deze stappen worden het risicobeheersproces genoemd. Het begint met het identificeren van risico's, vervolgens worden de risico's geanalyseerd, vervolgens wordt de prioriteit van het risico bepaald, een oplossing wordt geïmplementeerd, en ten slotte wordt het risico bewaakt.

 

(source)

  1. Identify the risk - De eerste stap in het risicobeheersingsproces is het identificeren en documenteren van de risico's waaraan het agentschap is blootgesteld. Het voordeel van deze aanpak is dat deze risico's nu zichtbaar zijn voor alle stakeholders. Let op; er zijn vele soorten risico’s (wettelijk, financieel, technisch, ….)

  2. Analyse the risk - Zodra een risico is geïdentificeerd, moet het worden geanalyseerd. De omvang van het risico moet worden bepaald. Het is ook belangrijk het verband te begrijpen tussen het risico en verschillende factoren binnen de organisatie. Om de ernst en de omvang van het risico te bepalen, moet worden nagegaan op de context waarop het risico betrekking heeft. Er zijn risico's die het hele bedrijf tot stilstand kunnen brengen als zij zich voordoen, terwijl er risico's zijn die bij de analyse slechts geringe ongemakken zullen opleveren (zie: categorieën).

  3. Evaluate the risk - Risico's moeten worden gerangschikt en geprioriteerd. De meeste risicobeheeroplossingen hebben verschillende risicocategorieën, afhankelijk van de ernst van het risico. Een risico dat enig ongemak kan veroorzaken wordt laag ingeschaald, risico's die tot catastrofale verliezen kunnen leiden worden het hoogst ingeschaald. Het is belangrijk risico's te rangschikken omdat het de organisatie in staat stelt een holistisch beeld te krijgen van de blootstelling aan risico's van de hele organisatie (zie: waarschijnlijk).

  4. Treat the risk - Elk risico moet worden geëlimineerd of zoveel mogelijk worden beperkt. Dit wordt gedaan door contact op te nemen met de deskundigen op het gebied waartoe het risico behoort.

  5. Monitor and review the risk - Niet alle risico's kunnen worden geëlimineerd - sommige risico's zijn altijd aanwezig. In een digitale omgeving controleert idealiter het risicobeheersysteem het volledige risicokader van de organisatie. Als een factor of risico verandert, is dat onmiddellijk voor iedereen zichtbaar.

Risico assessment

Combineer de ernst met de waarschijnlijkheid om de risk assessment code (RAC) of risiconiveau voor elk gevaar te bepalen. Hoewel dit niet vereist is, is het gebruik van een matrix (zoals hieronder) nuttig om de RAC te bepalen. Onderstaande matrix is een voorbeeld, in sommige Gevallen kunnen waarschijnlijkheid zodanig onwaarschijnlijk zijn dat je toch een andere RAC kiest. Je moet hierin pragmatisch blijven.

Categorieën

Binnen de context van Digitaal Vlaanderen bekijken we de volgende categorieën (je ziet dat de grenzen niet altijd erg scherp zijn en dus voor interpretatie vatbaar):

  • Catastrophic - Verlies van het vermogen om de missie te volbrengen. Verlies van een systeem of apparatuur dat cruciaal is voor de missie. Mission-critical veiligheids-breaches. Onaanvaardbare nevenschade.

  • Critical - Significante vermindering van het vermogen om een missie uit te voeren. Ernstige schade aan uitrusting of systemen. Beveiligingsfalen. Significante nevenschade.

  • Moderate - Verminderd vermogen om missies uit te voeren. Lichte schade aan uitrusting, of systemen.

  • Negligible - Weinig of geen nadelige gevolgen voor het vermogen van de missie. Lichte schade aan apparatuur of systemen, maar volledig functioneel en bruikbaar.

Waarschijnlijkheid

De categorieën mappen we op de waarschijnlijkheid dat een risico optreed. Hierin zien de we volgende parameters:

  • Frequent - Frequent voorkomend. Voortdurend ervaren voor een individueel of group van personen.

  • Likely - Zal waarschijnlijk onmiddellijk of binnen een korte periode voorkomen. Verwacht wordt dat het zich vaak zal voordoen bij een individueel of group van personen.

  • Occasional - Zal zich af en toe voordoen. Verwacht wordt dat het zich verscheidene keren zal voordoen bij een individueel of group van personen.

  • Seldom - Zal zich kunnen voordoen. Redelijkerwijs kan worden verwacht dat het risico ooit bij een individueel of group van personen zal optreden.

  • Unlikely - Onwaarschijnlijk dat het zich voordoet, maar nog steeds mogelijk.

Matrix

De combinatie van categorieën en waarschijnlijkheid kan men mappen in een matrix zoals onderstaande:

 

(source)

(source)

Risico Mitigatie (beperking)

We kunnen risicobeperking definiëren als een proces waarin we stappen ondernemen om nadelige gevolgen te beperken.

Preventie, reductie, overdracht, correctie, aanvaarding

Binnen Digitaal Vlaanderen gebruiken we de volgende afkorting voor risico beperking: PROCA: preventie, reductie, overdracht, correctie, aanvaarding. We voegen hier een berekening aan toe die het risico kwantificeert:

risico = kans (1-5) * impact (1-5)

Er worden templates en sjablonen aangereikt via een Sharepoint site - Risicoregsiter (je moet helaas expliciet toegang krijgen tot deze site).

Accept, Avoid, Transfer, Reduce

De meest gangbare definitie is de volgende: er zijn vier soorten strategieën voor risicobeperking (in sommige analyses voegt men een vijfde nl ‘hedging’ toe). Bij risicobeperking is het belangrijk een strategie te ontwikkelen die gebaseerd is op de kosten-batenanalyse van mogelijke risicobeperkende maatregelen

(source)

  • Accept - Bij sommige risico's zijn de kosten om het risico te beperken hoger dan de kosten om het risico te tolereren. In die situatie moeten de risico's worden aanvaard en zorgvuldig worden gecontroleerd.

  • Avoid - In het algemeen moeten risico's worden vermeden die een grote waarschijnlijkheid inhouden voor zowel financieel verlies als schade.

  • Transfer - Risico's waarvan de kans klein is dat zij zich zullen voordoen, maar die een grote financiële impact zouden hebben, moeten worden beperkt door ze te delen of over te dragen, bijvoorbeeld door een verzekering af te sluiten, een partnerschap aan te gaan of uit te besteden.

  • Reduce - De meest gebruikelijke risicobeperkingsstrategie is risicobeperking, d.w.z. dat bedrijven één of andere actie ondernemen om een waargenomen risico aan te pakken en hun blootstelling te reguleren. Risicobeperking behelst gewoonlijk een zekere mate van risicoaanvaarding en een zekere mate van risicovermijding.

Opportunities

Risico’s worden vaak gezien als negatief, maar een risico is niet meer dan de kans op dat iets gebeurt en de impact daarvan. Een risico kan dus ook positieve gevolgen hebben.

 

Strengths, Weaknesses, Opportunities and Threats (SWOT)

SWOT is een strategisch analysekader dat wordt gebruikt om de belangrijke gebeurtenissen samen te vatten die verband houden met de concurrentie van een organisatie of een project, alsmede de bedrijfsomstandigheden of wijzigingen (zie ook ). Een SWOT-analyse kan gebruikt worden om de strategische positie te ondersteunen, maar kan ook gebruikt worden in een risico management proces.

Het acroniem vertegenwoordigt vier perspectieven die in twee grote categorieën worden verdeeld: intern en extern.

  • De interne groep bestaat uit Strengths (S) en Weaknesses (W), die betrekking hebben op de direct beschikbare middelen en ervaring van het bedrijf of project voor het bereiken van de doelstellingen. Denk hierbij aan beschikbare kennis, financiële middelen en huidige processen en organisatorische structuren.

  • De externe groep omvat ook zowel positieve als negatieve perspectieven, namelijk kansen en bedreigingen. De onderwerpen in de externe groep daarentegen zijn voor een bedrijf of project betrekkelijk oncontroleerbaar. Voorbeelden die van toepassing zijn op ons agentschap zijn bijvoorbeeld technologische ontwikkelingen, veranderingen in de wetgeving en veranderingen in de markt.

De uitvoer van de PESTEL-analyse (zie ) kan direct gebruikt worden als input voor de externe groep in de SWOT analyse

 

(source)