Stappenplan risicoanalyse

Als ondernemer is het belangrijk om je bewust te zijn van de kansen die zich voordoen. Kansen om jezelf of jouw bedrijf verder te ontwikkelen. Maar ook kansen in het gebruik van nieuwe middelen of technologie. Wie ben je? Wat is je product of dienst? Hoe ziet jouw markt eruit en welke prijs is reëel? Scherpte in deze strategische vraagstukken helpt je verder in het ondernemen. Maar heb je ook nagedacht over de risico’s die je loopt?

Risico’s

Risico’s zijn onzekere gebeurtenissen in de toekomst die invloed kunnen hebben op jouw onderneming. Risico’s nemen is niet slecht. Als ondernemer neem je met regelmaat risico’s die uiteindelijk leiden tot nieuwe opdrachten of nieuwe klanten. Sleutel hierbij is dat je deze keuzes bewust maakt.

Voor je digitale veiligheid is het beheersen van je risico’s heel relevant. Risico’s beheersen doe je door te kijken naar de interne en externe factoren van de hele organisatie. Externe factoren zijn bijvoorbeeld wetgeving, standaarden, klantverwachtingen en marktontwikkelingen. Bij interne factoren gaat het meer over je financiële situatie, bewustzijn van veiligheid bij het management en de volwassenheid van je organisatie.

Hoe kun je je wapenen tegen cyberincidenten?

Met een 'Uitwijk- en herstelplan'. Dit wordt ook wel een Disaster Recovery Plan (DRP) genoemd. Lees hoe dit je helpt en gebruik een template voor dit plan als handig hulpmiddel.

Wat kun je doen om risico’s te beheersen?

Doorloop eens de volgende 4 stappen om je risico’s in kaart te brengen. Deze stappen zullen je helpen om je onderneming te beschermen op het gebied van beschikbaarheid, integriteit en vertrouwelijkheid.

Stap 1 - Bepaal wat je wil beschermen

Om je risico’s te kunnen identificeren, begin je met het in kaart brengen van je zogenaamde ‘kroonjuwelen’. Dit is wat waarde heeft voor jouw bedrijf. Jouw kroonjuwelen kunnen bijvoorbeeld digitale gegevens zijn zoals klantgegevens, unieke ontwerpen, specifieke kennisproducten, recepturen, productiemethoden of productkenmerken. Maar denk ook aan gegevens over je medewerkers, omzet of financiële gegevens. Als laatste kun je ook de reputatie van je bedrijf onder jouw kroonjuwelen scharen.

Stap 2 - Identificeer de risico’s

Met een goed beeld van wát het is dat je wilt beschermen, kun je ook de waarde ervan bepalen. Dit is nodig omdat je in deze stap gaat identificeren welke risico’s er zijn. Wanneer een kroonjuweel een hogere waarde heeft, resulteert dit meestal ook in grotere risico’s.

Risico’s kom je in verschillende vormen tegen. Zo kun je denken aan een kwetsbaarheid in een informatiesysteem, brandgevaar of onhandigheid van een medewerker. Een medewerker kan per ongeluk belangrijke data verwijderen. Een medewerker kan ook verleid worden om een bestand te openen waardoor een hacker toegang krijgt tot jouw waardevolle bedrijfsmiddelen of kroonjuwelen.

Er zijn verschillende methoden om risico’s te identificeren:

  • Ten eerste kun je kijken naar wat je al eens bent tegengekomen in je bedrijf. Bijvoorbeeld het verliezen van bestanden of een stroomstoring.
  • Ook voor jouw onderneming geldende wet- en regelgeving kan risico’s aan het licht brengen. Zo kan bijvoorbeeld de Algemene Verordening Gegevensbescherming (AVG) het risico op een datalek concreet maken.
  • Weet dat er ook partijen zijn die je kunnen helpen om je risico's in kaart te brengen. Dit zijn bijvoorbeeld consultants, accountants, boekhouders of juridisch adviseurs.

Stap 3 - Analyseer de gevonden risico’s

Wanneer je een beeld hebt van de risico’s die een gevaar vormen voor je kroonjuwelen, kom je bij de stap om de risico’s te analyseren. Als de gebeurtenis zich voltrekt, wat voor gevolg brengt dat dan met zich mee? En hoe groot is de kans dat het risico zich voordoet?

Een inzicht krijgen in de kans en gevolgen is niet altijd even makkelijk. Denk bijvoorbeeld aan de gevolgen van reputatieschade. De kans dat het gebeurt is misschien niet zo groot, maar als het gebeurt, en klanten vertrouwen je niet meer, kan het schadebedrag snel oplopen.

Om de kans en gevolgen beter te kunnen bepalen, kun je gebruik maken van een kwalitatieve of een kwantitatieve methode.

  • Kwalitatief
    Bij een kwalitatief beeld praat je niet direct in cijfers en bedragen. Je kunt in het geval van een kwetsbaarheid bijvoorbeeld kijken of het makkelijk is om deze te misbruiken. Daarnaast kan je denken aan het motief dat een hacker kan hebben. Om zo’n kwalitatieve methode in kaart te brengen kan je termen als ‘Laag’, ‘Medium’ of ‘Hoog’ gebruiken om de kans en gevolgen weer te geven.
  • Kwantitatief
    In het geval van een kwantitatief beeld praat je wel in cijfers en bedragen. Je kunt formules gebruiken om zowel de kans, als de gevolgschade te bepalen. Om aan deze cijfers te komen, kun je bijvoorbeeld naar statistieken uit het verleden kijken. Hoe vaak heb je het afgelopen jaar bijvoorbeeld een stroomstoring gehad waardoor de computersystemen het niet meer deden? Is dat er één of geen, dan zul je dit anders inschatten dan wanneer dit twintig keer is gebeurd.

Vaak worden boven genoemde methoden samen gebruikt. De uitkomsten zullen je helpen in de volgende stap om te bepalen welke actie passend is.

Stap 4 - Besluit wat je gaat doen

Nu je de risico’s in kaart hebt en een beeld hebt van de kans en de gevolgen, kun je overgaan tot het nemen van besluiten. Iedere keuze kan jou geld kosten. Daarom is het belangrijk om goed te bedenken waar je in investeert. Een hulpmiddel hierbij is deze risicomatrix waarbij je een indicatie krijgt van te nemen acties per risico.

Er zijn 4 mogelijke acties die je kunt nemen bij een risico. Deze vier acties variëren per kans en gevolg. Let op: dit is een versimpeling. Er zijn methodes waarbij tenminste 9, 16 of zelfs 25 of meer vakjes worden gebruikt. In dit geval gaat het om de basis:

  1. Accepteren: je weet dat je een risico loopt maar je accepteert het risico. In dit vak gaat het vaak om risico’s met een kleine kans en kleine gevolgen.
  2. Oplossen: je neemt maatregelen waardoor je het risico zoveel mogelijk beperkt en mogelijk zelfs kunt uitsluiten. In dit vak plaats je risico’s met een grote kans en kleine gevolgen. Bijvoorbeeld: maak een back-up om het verlies van bestanden te voorkomen.
  3. Overdragen: je verschuift het risico naar een ander door bijvoorbeeld een verzekering af te sluiten. Een goed voorbeeld hiervan is een brandverzekering. Plaats in dit vak de risico’s met een kleine kans maar met grote gevolgen.
  4. Stoppen: je voert de activiteiten waarop je een risico loopt, niet meer uit. In dit vak horen risico’s met een grote kans én grote gevolgen.
risicomatrix voor ondernemers

Hoe hierna verder?

Na het nemen van besluiten ben je er nog niet. Het is van belang om risico’s van tijd tot tijd opnieuw te bekijken. De markt, jouw bedrijf, maar ook de technologie staat niet stil. Het kan dus zijn dat jouw omgeving of jouw bedrijf is veranderd waardoor er nieuwe risico’s zijn ontstaan of bestaande risico’s in kans of gevolg veranderd zijn. Wees je hiervan bewust! Bespreek je (digitale) risico’s daarom periodiek met jouw bedrijfsadviseur, partner(s), accountant en anderen die hierin een rol spelen.