1.4.2.3.6. Omgaan met risico’s
Of er daadwerkelijk maatregelen genomen worden na het identificeren van de risico’s hangt af van een aantal factoren. Pas nadat alle risico’s in kaart zijn gebracht kunnen er maatregelen genomen worden. Verschillende soorten maatregelen die genomen kunnen worden zijn:
Mitigeren : door actieve handelingen risico’s verminderen of uitbesteden;
Overdragen: risico’s overdragen aan een andere partij,
Accepteren: geen gevolg geven aan de risico’s, d.w.z. geen maatregelen nemen om risico’s te verminderen
Vermijden: risico’s wegwerken door de activiteit stop te zetten of aan te passen.
Elke Vo entiteit moet voor de eigen organisatie de risicostrategie bepalen. Dit is een taak van het management en moet ook formeel gedocumenteerd en goedgekeurd worden.
Mitigeren
Risico mitigatie betekent het risico verlagen of verminderen. In de formule risico = waarschijnlijkheid x impact van een bedreiging betekent dit dus inspelen op ofwel de waarschijnlijkheid ofwel de impact van een bedreiging (of beide). Men kan de waarschijnlijkheid van de bedreiging verminderen door kwetsbaarheden weg te werken of men kan de mogelijke impactschade aanpakken en deze minimaliseren.
Overdragen
De organisatie kan er ook voor kiezen om het risico uit te besteden of over te dragen. Dit wordt bv. gedaan voor zeldzame gebeurtenissen met grote impact waarbij voor vele partijen de totale verwachte kost verdeeld wordt (d.m.v. een premie) of wanneer de organisatie de nodige capaciteit mist om het risico te mitigeren.
Accepteren
Is het risico klein, of weegt het niet op tegen de positieve uitkomsten, dan zullen er niet meteen additionele maatregelen genomen worden. De mogelijke impact wordt dan geaccepteerd. Acceptatie van een risico is rationeel indien men verwacht dat de kost van de controlemaatregelen hoger ligt dan de geschatte invloed van het risico op het bedrijfsresultaat. Ook als het risico niet kan worden vermeden, verminderd of uitbesteed, kan het management beslissen om het risico te accepteren. Het accepteren van een risico wil niet zeggen dat het risico niet beïnvloedbaar is. Op een later tijdstip kan er alsnog voor gekozen worden om het risico aan te pakken.
Vermijden
Wanneer een dienstverlening, beleid of bedrijfsproces binnen een organisatie teveel risico’s met zich meebrengt, kan er voor gekozen worden om de dienstverlening, het beleid of proces te beëindigen of aan te passen zodat het risico niet meer bestaat.