Risicoanalyse

Een risicoanalyse is een methode waarbij nader benoemde risico's worden gekwantificeerd door het bepalen van de kans dat een dreiging zich voordoet en de gevolgen daarvan: Risico = Kans x Gevolg. De risicoanalyse is de eerste stap binnen het risicomanagementproces.

Mensen zijn ontzettend slecht in het inschatten van risico’s. Mariëlle Stoelinga (Universiteit Twente & Radboud Universiteit Nijmegen) is expert risicomanagement en verwondert zich over de vraag hoe het toch komt dat velen gebruik maken van de smartphone op de fiets, maar bang zijn in het vliegtuig.

Doel bewerken

Bij een risicoanalyse worden bedreigingen benoemd en in kaart gebracht. Per bedreiging wordt de kans van het optreden ervan bepaald en wordt vervolgens berekend wat als gevolg de schade is die op zou kunnen treden als een bedreiging zich daadwerkelijk voor doet.

Op grond van een risicoanalyse kunnen de volgende maatregelen worden genomen:

preventie: het voorkomen dat iets gebeurt of het verminderen/ verkleinen van de kans dat het gebeurt;
detectie: het detecteren van de (potentiële) schade wanneer een bedreiging optreedt;
repressie: het beperken van de schade wanneer een bedreiging optreedt;
correctie: het instellen van maatregelen die worden geactiveerd zodra iets is gebeurd om het effect hiervan (deels) terug te draaien
acceptatie: geen (additionele) maatregelen, men accepteert de kans en het mogelijke gevolg van een bedreiging;
overdragen: financieel d.m.v. verzekeren of operationeel d.m.v. outsourcen;

De bedoeling van een risicoanalyse is dat er na de analyse wordt vastgesteld op welke wijze de risico's beheerst kunnen worden, of teruggebracht tot een aanvaardbaar niveau. Daarbij wordt naast een risicoanalyse ook een kosten en baten analyse uitgevoerd. Op voorhand hoeft niet ieder risico te worden afgedekt: wanneer de kosten van de maatregelen om een risico te beperken hoger zijn dan de mogelijke schade, dan kan besloten worden het risico te accepteren. Het is ook van belang dat de afdekking of acceptatie van risico's in overeenstemming is met de risk appetite van de organisatie.^[1] Het permanent uitvoeren van risicoanalyses wordt risicomanagement (ook wel Risk Management of Risk Control) genoemd.

Risicoanalysetechnieken bewerken

SFTA legende

Voorbeeld Fault Tree

Risicoanalyses kunnen op twee manieren worden uitgevoerd:

Kwalitatieve methode: er worden schattingen van de gelopen risico's gemaakt.
Kwantitatieve methode: de risico's worden waar mogelijk gekwantificeerd in meetbare criteria, meestal uitgedrukt in de financiële gevolgen.

Algemene methoden bewerken

Fault Tree Analysis, de foutenboom
Ishikawa of visgraatmethode
MORT, Management Oversight and Risk Tree
RISMAN
'What-if'-methode
KINNEY&FINE-methode
SARIER-methode

Informatiebeveiliging bewerken

Afhankelijkheden en Kwetsbaarheden (A&K) analyse
CRAMM
Data Risico Management^[2]
EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité)^[3]
Information Risk Analysis Methodology (IRAM)^[4]
RAVIB.nl^[5]
SPRINT dataclassificatie

HR bewerken

Human reliability analysis

Procesindustrie bewerken

FMEA, Failure mode and effects analysis
HAZOP, Hazard and operability studie ofwel Storingsanalyse

Strategievorming bewerken

SWOT, Strengths, Weaknesses, Opportunities, Threats of de sterkte-zwakteanalyse, analyse en strategiebepaling op basis van sterktes, zwaktes, kansen en bedreigingen als interne en externe factoren.

Verzekeringen bewerken

Actuariële rekenkunde

Internationale normen bewerken

Norm EN 954-1 beschrijft een kwalitatieve methode voor het rangschikken van risico's van beveiligingscircuits. Deze norm is echter per december 2011 vervangen door de NEN EN ISO 13849-1 en de NEN EN IEC 62061-1.
Norm EN 1050 beschrijft uitgangspunten voor een deugdelijke risicoanalyse. Ook deze norm is vervangen en wel door de ISO 12100:2010 (EN 14121:2005 en EN 14121:2007)
Norm NEN-ISO/IEC 27005(en) beschrijft Information Security Risk Management

Externe veiligheid bewerken

Een specifieke vorm van een risicoanalyse brengt de risico's in beeld van het gebruik, het transport of de opslag van gevaarlijke stoffen op de omgeving, ook wel aangeduid met de term externe veiligheid. Bij deze risicoanalyses spreekt men doorgaans van een QRA (Quantitative Risk Analysis of Quantitative Risk Assessment). In een QRA zet men de eigenschappen van de risicovolle activiteit (bijvoorbeeld een bedrijf) af tegen de eigenschappen van de omgeving, waarbij met name de aanwezigheid van personen in beeld wordt gebracht. Het risico in een QRA wordt uitgedrukt in de termen plaatsgebonden risico en groepsrisico.^[6].

Zie ook bewerken

Risicobeheer

Voetnoten bewerken

↑ COSO (2012). Understanding and Communicating Risk Appetite.
↑ Gearchiveerde kopie. Gearchiveerd op 13 november 2014. Geraadpleegd op 13 november 2014.
↑ https://en.wikipedia.org/wiki/EBIOS
↑ Information Security Forum : Information Risk Analysis Methodology (IRAM). securityforum.org.
↑ https://www.ravib.nl
↑ Handleiding Besluit externe veiligheid inrichtingen^{[dode link]}

[1] COSO (2012). Understanding and Communicating Risk Appetite.

[2] Gearchiveerde kopie. Gearchiveerd op 13 november 2014. Geraadpleegd op 13 november 2014.

[3] ttps://en.wikipedia.org/wiki/EBIOS

[4] Information Security Forum : Information Risk Analysis Methodology (IRAM). securityforum.org.

[5] ttps://www.ravib.nl

[6] Handleiding Besluit externe veiligheid inrichtingen^{[dode link]}

[1]

[2]

[3]

[4]

[5]

[6]