Risicomatrix voorbeeld

Risicomatrix: wat kan je er mee

Een risicomatrix is een simpel, maar effectief hulpmiddel om risico's in kaart te brengen, te evalueren en te prioriteren. In de meeste managementsysteem normen (ISO 9001, ISO 27001, ISO 14001, ...) is het een verplicht uit te voeren proces. Een risicomatrix wordt veelal in tabelvorm weergegeven, met op de ene as Gevolg en op de andere as Kans. De verschillende cellen in de tabel geven de combinatie van de beide criteria weer, vaak in kleur weergegeven. 

Om een risico te verlagen (te mitigeren) moeten maatregelen worden genomen. Door de gevolgen te minderen of door de kans te verminderen.
Voorbeeld. Er is een reëel risico tot ongewenste toegang tot gevoelige data in een serverruimte. De kans kan worden verlaagd door een slot op de deur, camerabewaking etc. De gevolgen kunnen worden verkleind door de gevoelige data in een beter toegerust datacenter te zetten. En de serverruimte alleen te gebruiken voor minder gevoelige data.

Risicomatrix toegepast

Onderstaande risicomanagement methode is veelgebruikt. Door deze in software tooling onder te brengen is het veel makkelijker om het (samen!) binnen de eigen organisatie uit te voeren.
 

• Stap 1

Inventariseren van alle processen en bedrijfsmiddelen binnen de eigen organisatie. Een overzicht uit een managementsysteem of CMDB - Configuration Management DataBase is dan handig.

• Stap 2

Per proces worden risico's in kaart gebracht. MAPGOOD is bijvoorbeeld een veelgebruikte methode. Handig is om samen (in een risicocarrousel) met verschillende disciplines, vanuit verschillende invalshoeken risico's te analyseren en te beoordelen 

• Stap 3

De uitkomst van deze stap is een classificatie van de risico's. Zowel de kans op optreden als de impact van optreden wordt ingeschat op een schaal van 1 tot 5. 
De uitkomst van deze stap is een overzicht van risico’s op een schaal van I tot IV, volgens onderstaande tabel in kleuren aangegeven. Hiermee wordt duidelijk in beeld gebracht welke risico’s verwaarloosbaar zijn, acceptabel of onacceptabel hoog zijn.

• Stap 4

De geïdentificeerde risico’s worden vergeleken met de vastgestelde acceptatiecriteria. Voldoen de risico's niet aan de gestelde acceptatiecriteria dan dienen passen maatregelen te worden genomen: vermijden, verminderen / mitigeren, overdragen of accepteren. 

• Stap 5

De behandeling van de risico’s met beschreven maatregelen wordt vastgelegd in een risicobehandelplan. Het risicobehandelplan is het overzicht voor de follow-up van de uit te voeren maatregelen. Hierin wordt later ook de effectiviteit van de maatregelen vastgelegd.

• Stap 6

Van alle risico’s moet het restrisico na behandeling worden geaccepteerd door de (hoger) management

Risicomatrix in een managementsysteem

Structurering in een managementsysteem geeft dan grote voordelen.
Klik voor een impressie op onderstaande video van de module RiskManagement, onderdeel van de applicatie Proware wat weer een 'bouwsteen' is binnen Metaware's managementsysteem platform.

Of probeer het NU. In 60 seconden staat alles online.