Onze visie op risico analyse
Risico analyse, waarom moeilijk maken als het makkelijk kan?
Een succesvolle risico analyse koppelt risico’s aan doelstellingen. Dit draagt direct bij aan het creëren van buy-in bij stakeholders om zo makkelijker door het proces van analyse te gaan. De risico analyses gaan meer leven wanneer ze onderdeel worden van het organisatieritme.
Volledige proefversie
Slechts 30 minuten
Geheel vrijblijvend
De drie onderdelen van een succesvolle risico analyse
Risico inventarisatie
Door duidelijkheid van doelstellingen en context ontstaat er organisatie breed een goed risicobeeld. Alle risico’s zijn daardoor makkelijker te inventariseren. Verder haalt het stakeholders naar boven en betrekt ze actief.
Analyseren risico’s
De risico inventarisatie kan nu gestructureerd worden door bijvoorbeeld kans x impact én een strategie vast te stellen. Hierdoor krijgt het brede risico profiel focus en prioriteit.
Monitoren van risico’s
Het risicoprofiel leidt tot de juiste acties en maatregelen. Monitoring toont aan of de strategie effectief is en waar bijsturing of verbetering noodzakelijk is. Hierdoor ontstaat een levend risico profiel en een betrokken organisatie.
Hou risico’s top-of-mind door middel van een risico analyse
Een goede risico analyse levert inzicht over de impact die een risico kan hebben op onderdelen zoals de waarde van het bedrijf, het imago, het merk en de betrouwbaarheid. Om dit te bereiken wordt de impact van een risico (in relatie tot de bedrijfsdoelstellingen) vaak op meerdere niveaus beoordeeld. Denk hierbij aan divisies, functies, projecten en operationele eenheden. Het komt regelmatig voor dat risico’s die op een afdeling of project als belangrijk worden beoordeeld geen of minimale impact hebben op de organisatiedoelstellingen. Door het structureren van risico analyses ontstaan risk maps op verschillende niveaus. Het koppelen van risico’s aan maatregelen en acties voorziet de organisatie van een risicomatrix die actief opgevolgd kan worden. Het monitoren en rapporteren houdt risico’s top-of-mind.
Three Lines Model
1e lijn
2nd line
3rd line
Het Three Lines of Defence model van de The Global Institute of Internal Auditors is juli 2020 geupdate.
De functies zijn niet alleen bedoeld om waarde van de organisatie te beschermen, maar ook om deze te vergroten. Zodoende wordt niet meer gesproken over ‘lines of defense’ of ‘lines of defence’.
Centraal voor alle functies staan de doelen van de organisatie. De functies zijn geen silo’s, maar stemmen af en werken samen; ieder vanuit de eigen rol. De inrichting van het model moet worden afgestemd op de risico’s en specifieke situatie van de organisatie.
Het 3LM legt sterker een koppeling met de doelstellingen van de organisatie.
1e lijn
Deze groep is eindverantwoordelijk voor de keuzes die worden gemaakt en de risico’s die in de dagelijkse praktijk worden genomen.
Je wilt de mensen die verantwoordelijk zijn voor de belangrijkste activiteiten en processen in een organisatie optimaal ondersteunen. GRC informatie is relevant maar vaak alleen als het moet. Hoe maak je het voor hen makkelijker? Hoe gaat risicomanagement voor hen leven? Weten zij binnen welke kaders ze moeten opereren? En hoe doe je effectief een Privacy Impact Assessment zonder direct alle teams te bestoken met een vragenlijst van meer dan 100 vragen?
Kernwoorden zijn: Verantwoording en rapporteren.
2nd line
Deze groep ontwikkelt de systemen voor een goed proces van risicomanagement en beheersing, altijd ter ondersteuning van de ‘business’.
De risicomanager, controller, auditor, compliance of security functionaris (CISO) wil een overzichtelijk register van risico’s, controls, compliance sets en bijvoorbeeld gerelateerde incidenten. NARIS GRC helpt de GRC Professional met inzicht, volledigheid. Of je nu op basis van een Risk Control Framework werkt of alleen control testing doet, interne en externe audits wilt doen, of wilt voldoen aan een norm. Met onze kennis en de flexibiliteit van NARIS GRC kan je sturen met lef.
Kerwoorden zijn: Delegeren, richting, middelen, toezicht
3rd line
Deze groep voorziet de hoogste leiding van zekerheid (assurance) over de kwaliteit van sturing en beheersing op bepaalde vlakken binnen de organisatie.
Toezichthouders, Raden van Bestuur/Toezicht/Commissarissen, externe auditors of accountants, als internal auditor wil je rapporteren op een effectieve en relevante wijze. NARIS GRC kan je helpen met die rapportages; of het nu gaat om assurance van audits of controls, risico’s bij ketenpartners of doelstellingen van de organisatie zelf. Van detail tot dashboard, in of extern; achteruitkijken om vooruit te sturen. Gevoed door nuttige GRC informatie zodat de juiste assurance gegeven kan worden.
Kernwoorden zijn: Afstemming, communicatie, coördinatie, samenwerking
Soorten risico analyses
Kwalitatieve analyse
Kwalitatieve analyses (zoals interviews, workshops, enquêtes en benchmarking).
Kwantitatieve analyse
Kwantitatieve analyses (zoals modellering, beslissingsbomen, Monte Carlosimulaties).
Fouten boom analyse
Analyse en doorrekening kans van de meest ongewenste reactie (topgebeurtenis).
Koppel risico’s aan doelen
De impact van risico’s op de waarde van je organisatie, het merk, het imago en de betrouwbaarheid is alleen vast te stellen door risico’s te koppelen aan doelen. Met NARIS GRC is het in één oogopslag duidelijk wat de impact van risico’s is op de doelstellingen. Zo ontstaat er een organisatie breed draagvlak én inzicht in de waarde van GRC.
Integrale aanpak GRC >
Input verzamelen van stakeholders
Stakeholders hebben regelmatig moeite om een waardevolle bijdrage te leveren aan een succesvol GRC. Het omzetten van ‘hun belevingswereld’ naar een standaard taal van risico analyse blijkt complex. GRC software stelt stakeholders in staat om eenvoudig risico’s op te voeren en te prioriteren. Daarnaast helpt het om te komen tot een gezamenlijke analyse waarbij onderdelen als het vaststellen van kans x impact als leuk wordt ervaren. Ook draagt het bij aan de levensloop van risico’s en monitoring van maatregelen.
Van Excel-chaos naar overzicht en prioriteit
Organisaties beginnen vaak met het uitvoeren van risico analyses in Excel. Een uitstekende stap om gestructureerd met risico management om te gaan! Wel leidt dit snel tot Excel-chaos en vraagt een volgend volwassenheidsniveau om meer. GRC software maakt het mogelijk om van risico analyse naar risicomanagement te groeien middels overzicht, prioriteit en beheersing. Dit in de vorm van heatmaps, rapportages en de koppeling met maatregelen en acties. Allemaal in één GRC platform.
Monte-Carlo simulatie
Niet alle risico’s treden in volle omvang tegelijkertijd voor. Met de Monte-Carlo simulatie worden 10.000 trekkingen gedaan en wordt statistisch doorgerekend wat een noodzakelijke risicoreserve zou moeten zijn. In NARIS GRC is het mogelijk zelfstandig op meerdere niveau’s Monte-Carlo simulaties uit te voeren
Risicodialoog
Als risicomanager dien je vooral het gesprek over de risico’s met de organisatie aan te gaan. Met Naris GRC is het mogelijk om voor en na beheersmaatregelen over risico’s te stemmen. Dit kan zelfs anoniem om stem-beïnvloeding te voorkomen. Na bespreking van de perceptieverschillen kun je als facilitator een uiteindelijk waarde geven aan de kans en impact.
De 8 stappen van risico analyse
Handige infographic over de 8 belangrijkste stappen
Inspiratie rondom risico analyse.
Di. 3 dec 2024 – Three Lines Model: Hoe volwassen wil je zijn of worden?
Het Three Lines Model is de basis voor het goed inrichten van de risicobeheersing van je organisatie. Wat zijn randvoorwaarden
Wo. 4 dec 2024 – Naris Intervisie Zoetermeer: Risicomanagement
Uit onderzoek blijkt dat risicomanagement leeft bij Nederlandse gemeenten. Op meerdere niveaus worden risico’s meegenomen in de besluitvorming. Kijk bijvoorbeeld
Nieuwe verduidelijking rondom de verklaring omtrent risicobeheersing (VOR)
Dialoogpaper over de verklaring omtrent risicobeheersing (VOR) vanuit de NBA UPDATE 20 november 2024: Het IIA heeft de VOR nog
Meer weten over risico analyse?
Heb je vragen over de wijze waarop je slim risico analyses uit kunt voeren? Neem vrijblijvend contact met ons op!
Vul het formulier in of
bel met Floor:
Bel mij terug!
Wil je weten wat we voor jouw organisatie kunnen betekenen? Vul onderstaand formulier in.
Nederland
Plantageweg 1C
3833 AZ Leusden
Colosseum 19
7521 PV Enschede
Duitsland
Hohenzollernring 57
50672 Köln
Over NARIS
Partners
GRC tooling
Support
