Zo maak je een perfecte risicoanalyse

Met een risicoanalyse breng je de interne en/of externe risicofactoren van een bedrijf, organisatie of bepaald project in kaart. Hierbij stel je per bedreiging vast hoe groot de kans is dat het risico werkelijkheid wordt en welke consequenties dat zou hebben voor het bedrijf of project. Tot slot bepaal je de maatregelen om de risico’s te beperken.

Voordat je begint, bepaal je of je een kwantitatieve of kwalitatieve risicoanalyse gaat uitvoeren en op welke beheersaspecten de focus ligt. De risicoanalyse kan een apart rapport zijn of onderdeel van een Plan van Aanpak, adviesrapport, stageverslag of scriptie.

Een goede methode om risico’s te analyseren is om een risicomatrix te gebruiken. Na je analyse schrijf je over je bevindingen een conclusie en aanbevelingen.

Structuur van je risicoanalyse

De structuur van je risicoanalyse is altijd ongeveer hetzelfde. De lengte varieert afhankelijk ervan of je risicoanalyse een apart rapport is, of een onderdeel van een ander rapport.

Mocht het een onderdeel zijn van een ander rapport, dan hoef je overlappende onderdelen zoals de organisatiebeschrijving en missie en visie niet dubbel te beschrijven. In dit geval is je conclusie ook enkel een deelconclusie en presenteer je de aanbevelingen pas in het betreffende hoofdstuk van het adviesrapport, stageverslag of de scriptie.

Als de risicoanalyse onderdeel is van een Plan van Aanpak dan schrijf je nog geen aanbevelingen.

Lengte in apart rapportLengte als onderdeel van…
Inleiding1 tot 3 pagina’s1 of 2 paragrafen
Risicobeleid1 pagina1 paragraaf
Interne en externe risicofactoren1 tot 2 pagina’s2 paragrafen
Maatregelen (per risico)1 tot 2 pagina’sParagraaf per maatregel
Conclusie (en aanbevelingen)Halve pagina1 paragraaf

Focus en doel van de risicoanalyse

Waar jouw risicoanalyse over gaat, is afhankelijk van de doelstelling van je onderzoek, de aanleiding voor de risicoanalyse of de vraag van je opdrachtgever. Zo zijn niet alle risico’s even belangrijk, afhankelijk van de beheersaspecten die je kiest.

Bepaal voordat je begint met je risicoanalyse op welke beheersaspecten je wilt aansturen, bijvoorbeeld:

  • Tijd besparen
  • Een deadline halen
  • Geld besparen
  • Kwaliteit verbeteren
  • Informatie vergaren
  • Organisatie verbeteren
  • Interne communicatie verbeteren
  • Uitbreiding activiteiten gunstig laten verlopen
  • Marketing verbeteren

Op basis hiervan kun je bepalen of je interne en externe factoren gaat analyseren en welke bedreigingen uiteindelijk prioriteit hebben. Je richt je vervolgens op alle risico’s die invloed kunnen hebben op de beheersaspecten waar je op focust.

Voorbeelden focus kiezen
Doelstelling: Werknemers van Rabobank Nederland moeten beter gemotiveerd worden.
Focus op: Interne communicatie verbeteren

Vraag van de opdrachtgever: Hoe kunnen we X aantal nieuwe mondkapjes bekostigen, produceren en leveren vóór 8 september 2020?
Focus op: Een deadline halen, tijd besparen, geld besparen

Aanleiding: Lancering product G op nieuwe markt
Focus op: Uitbreiding activiteiten gunstig laten verlopen, marketing verbeteren

Hoeveel fouten bevat jouw scriptie?

De taalexperts van Scribbr verbeteren gemiddeld 150 fouten per 1000 woorden. Benieuwd wat er precies wordt verbeterd? Verschuif de cursor van links naar rechts!

Scriptie nakijken op taal

Kwalitatieve of kwantitatieve risicoanalyse

Kies of je een kwalitatieve of kwantitatieve risicoanalyse of een combinatie van beide gaat uitvoeren. Bij een kwalitatieve risicoanalyse maak je schattingen van de gelopen risico’s. Bij een kwantitatieve risicoanalyse worden de risico’s in meetbare criteria beschreven, altijd met betrekking tot de beheersaspecten tijd en geld.

De meeste studenten voeren een kwalitatieve risicoanalyse uit of een combinatie van beide. Dit laatste houdt in dat je eerst een kwalitatieve risicoanalyse uitvoert om een algemeen inzicht te krijgen in de bedreigingen en vervolgens op kwantitatieve wijze een aantal specifieke aandachtsgebieden analyseert.

Inleiding van je risicoanalyse

In je inleiding geef je aan voor welke organisatie je een risicoanalyse uitvoert, wat de aanleiding was, wat precies het onderwerp is, welke methode je gebruikt voor de risicoanalyse, welke beperkingen je risicoanalyse kent (waar je niet op ingaat) en presenteer je de leeswijzer. Houd als richtlijn voor de lengte van je inleiding maximaal 3 pagina’s aan.

Organisatiebeschrijving

Beschrijf in je inleiding eerst de organisatie door in te gaan op de aspecten die van belang zijn voor de risicoanalyse, zoals:

  • Type bedrijf
  • Markt waarin het zich bevindt
  • Locatie en aantal vestigingen
  • Kernactiviteiten
  • Structuur van de organisatie (eventueel met organogram)
  • Indien relevant: verdeling verantwoordelijkheden

Aanleiding

Hierna bespreek je de aanleiding voor de organisatie om jou te vragen een risicoanalyse te maken, of het probleem naar aanleiding waarvan jij een risicoanalyse hebt gemaakt.

Voorbeeld aanleiding risicoanalyse
Bedrijf X overweegt proces C uit te besteden aan organisatie Z. De reden hiervoor is dat er voor proces C onvoldoende deskundigheid aanwezig is binnen bedrijf X doordat de deskundige Janssen zijn ontslag heeft ingediend en voor haar nog geen vervanger is gevonden.

Doordat het uitbesteden van proces C risico’s met zich meebrengt, wordt dit rapport opgesteld als hulpmiddel voor een effectieve risicobeheersing. Met behulp van dit rapport wordt achterhaald of de uitbesteding verantwoord is.

Onderwerp van de risicoanalyse

Beschrijf vervolgens precies wat hoort bij jouw risicoanalyse, zodat duidelijk is op welke interne en externe factoren je je moet richten.

Voorbeeld onderwerp risicoanalyse
Deze risicoanalyse heeft betrekking op de interne communicatie van bedrijf G over het gevoelige onderwerp B. Hierbij gaat het om de volgende hulpmiddelen die hierbij gebruikt (kunnen) worden, namelijk bijeenkomsten, sociale media en een-op-eengesprekken.

Werkwijze of methode voor de risicoanalyse

Geef om te beginnen aan welke dataverzamelingsmethoden je gebruikt om inzicht te krijgen in de bedreigingen. Vervolgens bespreek je of je een kwalitatieve of kwantitatieve risicoanalyse uitvoert, of een combinatie hiervan.

Voorbeeld aanduiding werkwijze of methode voor risicoanalyse
Om de risicofactoren van bedrijf X te achterhalen en hiervoor maatregelen te bepalen, wordt een kwalitatieve risicoanalyse uitgevoerd. Hierbij worden schattingen gemaakt over hoeveel kans bestaat op de verschillende risico’s en hoe groot de gevolgen hiervan zullen zijn.

Leeswijzer

Voeg een korte leeswijzer toe om de opbouw van je risicoanalyse aan te kondigen zodat de lezer weet wat hij of zij kan verwachten.

Risicobeleid

Beschrijf het huidige risicobeleid van de organisatie op maximaal 1 pagina. Ga eerst in op de visie en missie van het bedrijf: Waar staat het bedrijf voor? Vraag aan je opdrachtgever wat de visie en missie inhouden. Als je dit al in je organisatiebeschrijving in een ander hoofdstuk hebt opgenomen, hoef je dit hier niet nog eens op te schrijven.

Organisatiedoelen, risicohouding en risicodoelen

Geef vervolgens aan wat de algemene organisatiedoelen zijn. Afhankelijk van deze doelen, focus je op verschillende beheersaspecten. Je gaat hierbij in op wat het bedrijf wil bereiken. Voorbeelden hiervan zijn:

  • Beste kwaliteit producten of diensten leveren
  • Zo snel mogelijk leveren
  • Processen automatiseren
  • HR-afdeling optimaliseren
  • Tevreden werknemers
  • X% winst binnen 4 jaar

Hierna beschrijf je de risicohouding en risicodoelen van het bedrijf. Je zou kunnen stellen dat het bedrijf behoudend is tegenover risico’s en daarom zo min mogelijk risico neemt. Een bedrijf kan risico’s ook accepteren en expres risico’s nemen om zoveel mogelijk winst te kunnen behalen.

Risicostrategie

Bespreek ook kort in een paar zinnen de risicostrategie van het bedrijf als deze strategie bekend is. De risicostrategie houdt in wat het bedrijf doet om risico’s te beheersen. Hierbij geef je antwoord op de volgende vragen:

  • Hoe worden niet-acceptabele risico’s in de huidige situatie ingedamd of vermeden?
  • Hoe zijn verantwoordelijkheden voor het beheersen van risico’s verdeeld?
  • Wie draagt de eindverantwoordelijkheid voor het risicobeheersingsproces?
Voorbeeld omschrijving risicobeleid in risicoanalyse
In de huidige situatie kiest bedrijf X ervoor om niet-acceptabele risico’s zoveel mogelijk over te dragen. Manager Z is daarom verantwoordelijk voor het uitbesteden van diensten G en V. Acceptabele risico’s worden geaccepteerd. Alle risico’s worden ingeschat en beheerst door risicomanager H.

Interne en externe risicofactoren

Bedreigingen kunnen extern aanwezig zijn, in de macro-omgeving van het bedrijf, maar ook intern, binnen het bedrijf zelf. Of je zowel interne als externe risicofactoren meeneemt in je risicoanalyse, is afhankelijk van je focus en het doel van je opdrachtgever.

Interne risicofactoren bepalen

Als je interne factoren bekijkt, kun je ingaan op bedreigingen met betrekking tot:

  • Bedrijfscultuur
  • Personeelsrisico’s
  • Interne organisatie
  • Aanwezige technologie
  • Aanwezige middelen
  • Vestiging
  • Budget
  • Bepaalde afdelingen

Om de bedreigingen te achterhalen, kun je bedrijfsdocumenten bestuderen, het bedrijf observeren, interviews houden of een enquête afnemen. Vervolgens kun je de gegevens analyseren door middel van het 7S-model van McKinsey of het visgraatmodel.

Externe risicofactoren bepalen

Om externe factoren te achterhalen kun je een DESTEP-analyse uitvoeren, waarbij je kijkt naar bedreigingen met betrekking tot de volgende factoren:

  • Demografisch
  • Economisch
  • Sociaal-cultureel
  • Technologisch
  • Ecologisch
  • Politiek-juridisch

Vervolgens kun je door middel van een SWOT-analyse achterhalen wat de bedreigingen en zwaktes van het bedrijf zijn, en dus de externe risicofactoren.

Methoden voor de risicoanalyse

Zodra je de bedreigingen in kaart hebt gebracht, moet je ze gaan analyseren om te achterhalen:

  • Welke risico’s de grootste invloed hebben op het doel
  • Op welke risico’s het meest kans is
  • Welke risico’s de grootste consequenties hebben
  • Welke risico’s mogelijk buiten beschouwing gelaten kunnen worden

Risicomatrix

Voor een kwalitatieve risicoanalyse kun je hiervoor een risicomatrix gebruiken, ook wel een risk-assessment matrix genoemd. Je geeft in deze matrix ieder risico een plek en ziet zo duidelijk welke risico’s prioriteit hebben.
Risicomatrix

Confrontatiematrix, punten verdelen of kans en gevolg verduidelijken

Je kunt de risico’s ook analyseren door middel van een confrontatiematrix. Een andere methode is om degenen die je hebt geïnterviewd of bij wie je een enquête hebt afgenomen punten te laten toekennen aan de risico’s. Of je kunt de risico’s opsplitsen in kans en gevolg en zelf schattingen hierover maken in procenten.

Als je een kwantitatieve risicoanalyse doet, druk je de gevolgen uit in geld of tijd en bereken je de kans op de risico’s nauwkeurig.

Andere methoden

Andere methoden die je kunt gebruiken, zijn de foutenboom, de Management Oversight and Risk Tree (MORT), RISMAN, de ‘What-if’-methode, de Kinney-&-Fine-methode en de SARIER-methode.

Het is afhankelijk van de vraag van jouw opdrachtgever, de focus van je risicoanalyse en het tijdsbestek dat je hebt voor de risicoanalyse welke methoden je het best kunt gebruiken.

Maatregelen per risico

Nu je weet welke risico’s prioriteit hebben, kun je maatregelen bepalen. Je kunt kiezen voor de volgende maatregelen:

  • Voorkomen: Zorgen dat de risico’s zich niet voordoen door de oorzaak aan te pakken of risico’s te vermijden.
  • Detecteren: Risico’s opsporen om hier vervolgens rekening mee te houden.
  • Verminderen: De schade beperken wanneer een bedreiging optreedt door bijvoorbeeld een verzekering hiertegen te nemen of de oorzaak van een dreiging aan te pakken.
  • Corrigeren: Maatregelen instellen die worden ingezet wanneer een risico zich heeft voorgedaan om de effecten hiervan (deels) terug te draaien.
  • Accepteren: Geen maatregelen nemen, maar de kansen en gevolgen van een bedreiging accepteren.
  • Overdragen: Het risico overdragen door het risico uit te besteden of het bedrijf hiertegen te verzekeren.

Maatregelen inventariseren in een kwalitatieve risicoanalyse

Zodra je de maatregelen per risico bepaald hebt, kun je analyseren wat na de maatregelen de kansen en gevolgen zijn van de risico’s door deze bruto en netto te scoren. Dit betekent dat je een score geeft over de kans en het gevolg vóór (bruto) en ná (netto) de invoering van de maatregel.

Voorbeeld bruto- en netto-risico’s kwalitatieve risicoanalyse
bruto-netto risico kwalitatief

Let op: Je kunt in plaats van procenten ook de scores in de risicomatrix gebruiken: laag, gemiddeld, hoog.

Maatregelen inventariseren in een kwantitatieve risicoanalyse

Bij een kwantitatieve risicoanalyse kun je ook de algemene risicoscore meenemen door kans- en gevolgklassen te gebruiken in je initiële score van de risico’s. Je berekent de algemene risicoscore als volgt: kansscore x gevolgscore = risicoscore.

KansscoreKans in %Frequentie
110% – zeer onwaarschijnlijkMinder dan of 1 keer per 10 jaar
230% – onwaarschijnlijk1 keer per 5 tot 10 jaar
350% – waarschijnlijk1 keer per 2 tot 5 jaar
470% – mogelijk1 keer per 1 tot 2 jaar
590% – vrijwel zeker1 of meer keer per jaar
GevolgscoreSchade
1Meer dan €50.000
2€50.000 tot €500.000
3€500.000 tot €1.500.000
4€1.500.000 tot €3.750.000
5Meer dan €3.750.000

 

Voorbeeld bruto- en netto-risico’s kwantitatieve risicoanalyse
bruto-netto risico kwantitatief

Conclusies en aanbevelingen van de risicoanalyse

Op basis van je risicoanalyse kun je conclusies trekken over de risico’s die het meeste prioriteit hebben en de maatregelen die moeten worden doorgevoerd en in hoeverre de risico’s daarmee kunnen worden beheerst.

Op basis van deze conclusies, kun je aan je opdrachtgever aanbevelingen doen. Zo kan je opdrachtgever uiteindelijk de risico’s beheersen. Zorg ervoor dat al je aanbevelingen betrekking hebben op het doel van jouw opdrachtgever.

Lijst van mogelijke risico’s

Doe inspiratie op voor jouw risicoanalyse als je nog niet zo goed weet waar je moet beginnen en wat mogelijke bedreigingen kunnen zijn. De risico’s zijn gekoppeld aan bedrijfs- en projectaspecten en mogelijke bedrijfs- of projectdoelstellingen.

Wat vind jij van dit artikel?
Lou Benders

Lou was Scribbrs Product- en Kwaliteitsmanager tot ze naar Italië verhuisde voor de liefde en het lekkere weer. Nu werkt ze op afstand aan Scribbrs diensten en aan handige artikelen over academische teksten.

1 reactie

Lou Benders
Lou Benders (Scribbr-team)
22 mei 2020 om 15:17

Bedankt voor het lezen! Ik hoop dat je er iets aan hebt gehad. Zit je nog met een vraag? Laat een reactie achter en ik kom zo snel mogelijk bij je terug.

Stel een vraag of reageer.

Please click the checkbox on the left to verify that you are a not a bot.