Risico's beoordelen
Het beoordelen van risico's is een proces binnen het ondernemingsrisicobeheer waarbij wordt vastgesteld hoeveel risico een bedrijf loopt. Hoewel risicobeoordeling zich volledig kan richten op het evalueren van de negatieve impact van de blootstelling van een bedrijf aan onzekerheid, kan het ook worden gebruikt om potentiële kansen te identificeren.
Beoordelingscriteria ontwikkelen
De eerste stap in het risicobeoordelingsproces is het ontwikkelen van een gemeenschappelijke set beoordelingscriteria die kunnen worden gebruikt voor verschillende operationele segmenten, entiteiten of bedrijfsonderdelen.
Als uw bedrijf of afdeling nog niet bekend is met ondernemingsrisicobeheer, kunt u beginnen met het beoordelen van risico's op basis van waarschijnlijkheid en impact. Zodra u uw beoordelingsproces hebt verfijnd en meer inzicht hebt gekregen in het risicoprofiel van uw bedrijf, kunt u beginnen met het evalueren van risico's op basis van aanvullende dimensies, zoals kwetsbaarheid en snelheid.
Voor gedetailleerde informatie over het ontwikkelen van beoordelingscriteria, zie Instellingen voor risicoscores configureren.
Het beoordelen van inherent risico
Inherent risico is een berekening die voortvloeit uit een beoordeling van een onbehandeld risico. Het is het ruwe risico waarmee een bedrijf wordt geconfronteerd als er geen controles of andere risicobeperkende factoren zijn ingevoerd.
Hoe beoordeel ik het inherente risico?
U beoordeelt het inherente risico op basis van het risicoscoreframework dat uw bedrijf heeft vastgesteld.
Het beoordelen van inherent risico omvat:
- risico's koppelen aan de strategische doelstellingen zoals gedefinieerd in de strategiekaart
- risico’s beoordelen in alle operationele segmenten op basis van meerdere risicoscorende factoren
De onderstaande tabel beschrijft drie benaderingen die u kunt gebruiken om inherent risico te beoordelen:
| Approach | Handig voor ... | Informatie |
|---|---|---|
| Risico's gezamenlijk beoordelen met behulp van een Risicoworkshop | bedrijven die risicoscoring in Diligent One willen bespreken en eraan willen samenwerken | |
| Risico's afzonderlijk beoordelen in Risicoprofiel | bedrijven die handmatig gegevens in hun Risicoprofiel willen invoeren na het voeren van gesprekken buiten het Diligent One-platform | Het beoordelen van inherent risico |
| Gebruik beoordelingsfactoren om risicobeoordelingen te automatiseren | bedrijven die risicobeoordelingen willen automatiseren en belangrijke belanghebbenden willen informeren wanneer er veranderingen optreden | Strategische risicobeoordelingen automatiseren |
Risicobehandeling definiëren
Risicobehandelingen zijn de maatregelen die een bedrijf neemt om risico's te beperken. Maatregelen kunnen initiatieven, programma's, beleidslijnen of controledoelstellingen omvatten, die u kunt aanmaken in de Projecten-app en koppelen aan strategische risico's in de Strategy-app.
Hoe definieer ik risicobehandeling?
Nadat u het inherente risico hebt beoordeeld, kunt u de risicobehandeling definiëren. U definieert risicobehandeling door doelstellingen in de Projects-app te koppelen aan strategische risico's in de Strategy-app. Deze koppeling stelt u in staat om assurance-informatie en testresultaten uit Projecten te verzamelen en het restrisico in Strategie te beoordelen.
Voor meer informatie raadpleegt u Risicobehandeling definiëren.
Beoordelen van restrisico
Restrisico is een berekening die voortvloeit uit een beoordeling van hoeveel risico er overblijft nadat controles en andere risicobeperkende factoren zijn geïmplementeerd. Restrisico is belangrijk om aan te tonen waar de gebieden met het hoogste risico binnen het bedrijf zich bevinden, zodat middelen dienovereenkomstig kunnen worden ingezet.
Hoe beoordeel ik het restrisico?
Na het beoordelen van het inherente risico en het definiëren van de wijze waarop het risico wordt behandeld, voert u een voorlopige behandelingsevaluatie uit die beoordeelt in hoeverre de behandeling het risico vermindert. Dit stelt u in staat om gebieden te identificeren waar het bedrijf wordt blootgesteld aan risico's die verder gaan dan de risicobereidheid van de onderneming.
Het beoordelen van restrisico omvat het opgeven van een behandelingspercentage om te definiëren in welke mate het risico wordt verminderd door de behandeling. Het behandelingspercentage is gebaseerd op de verwachte effectiviteit van behandelingsinspanningen, voordat controles zijn getest om garantie te bieden.
Voor stappen om het restrisico te beoordelen, zie Beoordelen van restrisico.
Risico's versus kansen identificeren
Zodra u uw inherente risicobeoordeling en voorlopige behandelingsevaluatie hebt afgerond, kunt u beter begrijpen welke gebieden van het bedrijf de meeste zorg baren. U wilt mogelijk de risico's monitoren die de grootste impact hebben op uw bedrijf en ervoor zorgen dat behandelingen de impact van het risico voldoende verminderen.
Soms kan de voorbereidende behandelingsevaluatie aantonen dat u in te veel resources investeert om een risico te mitigeren (Behandelingspercentage >= 100%). In dit geval toont de risicobeoordeling potentiële mogelijkheden voor het verminderen van de hoeveelheid behandeling voor een bepaald risico en worden resources gekoppeld aan de risicobehandeling afgeschaald.
