Risicomanagement
Hoofdstuk 5
Risico-identificatie = risico-inventarisatie is de eerste stap van het risicomanagementproces. De
organisatie spoort de potentiele gevaren op. Het is bestandsopnamen, die ertoe dient een overzicht
te krijgen van de risico’s die de organisatie op allerlei vlakken bedreigen. Ook risico’s die in de
toekomst een rol zouden kunnen spelen krijgen de aandacht.
Wanneer risicomanagement voor het eerst in de organisatie wordt toegepast, zal de risico-
identificatie grondig en compleet moeten worden uitgevoerd, maar ook daarna is alertheid voor het
ontstaan van nieuwe risico’s of de verandering van de bestaande risico’s gewenst. Een bestaande
risico-identificatie zal periodiek moeten worden geactualiseerd.
5.1 Aanpak van de risico-identificatie
Er bestaan in de praktijk geen waterdichte methoden van risico-identificatie. Er zijn wel een aantal
standaardwerkwijzen en – hulpmiddelen waarmee een organisatie een goed overzicht kan krijgen
van de belangrijkste risico’s. Er moet rekening gehouden worden met de aard en omvang van de
organisatie en de activiteiten die er worden verricht. Ook moet er overeenstemming zijn over de
aard van de risico’s die geïdentificeerd moeten worden.
5.1.1 Structuur van de risico-identificatie
Er vindt twee stappen plaats:
1. Een oriëntatie op de organisatie. Inzicht in de organisatie geeft de risicomanager al een richting
voor het bepalen van de risico’s.
2. Het bepalen van de reikwijdte (scope) van de identificatie. Hiermee beantwoordt de
risicomanager vragen als:
Welke doelstellingen van de organisatie zijn onderwerp van onderzoek?
Welke onderdelen van de organisatie zijn onderwerp van onderzoek?
In welke risico’s is nader inzicht geweest?
Het overzicht van organisatiedoelstellingen en -onderdelen en van de risicocategorieën die worden
betrokken bij de risico-identificatie, vormt een goed uitgangspunt voor het proces. Deze elementen
maken dan ook deel uit van een structuur van identificatie.
Wanneer een organisatie een risicoanalyse uitvoert, kan zij ook als volgt te werk gaan:
1. De risicomanager globaal nagaat aan welke potentiele risico’s de organisatie blootstaat, met
behulp van een oppervlakkige bedrijfsbrede risico-oriëntatie. Een hulpmiddel hiervoor is een
algemene checklist van statische en dynamische bedrijfsrisico’s bevat vragen die aanleiding
kunnen geven om bij de tweede stap tot een diepgaande risico-identificatie te gaan betreffende
de belangen, eigendomen en activiteiten van het bedrijf of de organisatie.
2. Gaat de risicomanager op systematische wijze na welke van de in de quick scan onderkende
risicoprobleemvelden in zijn bedrijf voorkomen en welke een nader onderzoek vergen. Het is
meestal niet mogelijk om de gedetailleerde identificatie allen uit te voeren, maar is er assistentie
nodig van interne en soms ook externe deskundigen.
5.1.2 Enkele benaderingen van risico-identificatie
Het identificeren van risico’s kan met behulp van verschillende werkwijzen.
Onderzoek naar samenhang tussen schadeoorzaak, belang en schadevorm
De eerste benadering om risico’s te identificeren, onderzoekt de samenhang tussen potentiële
schadeoorzaken en de belangen, objecten of personen die aan deze schadeoorzaken blootgesteld
zijn, en de schade die als gevolg van de risico’s kan ontstaan.
, De gebeurtenissen die oorzaak kunnen zijn van een storing of schade, kunnen als volgt worden
onderverdeeld:
Gebeurtenissen die tot persoonsschade leiden (ziekte, letsel)
Gebeurtenissen die uitsluitend immateriële schade veroorzaken (misbruik merken of
bedrijfsspionage)
Gebeurtenissen die zowel materiële als immateriële schade veroorzaken (brand, storm,
explosie, aanrijding of overstroming).
Gebeurtenissen veroorzaakt door technische en organisatorische oorzaken (machineschaden
door uitval van de energievoorziening).
Gebeurtenissen in de omgeving van de organisatie die schade veroorzaken (het wegvallen van
toeleveranties, politieke risico’s).
Gebeurtenissen die schade aan derden veroorzaken (levering gebrekkige producten, vervuiling
milieu).
Bij personen of belangen die aan risico’s onderhevig zijn, is er een onderscheid in:
Personen (medewerkers, zakenrelaties, bezoekers, omwonenden)
Onroerende zaken
Machines en inventaris
Voorraden
Rollend materieel
Niet-materiële belangen.
De soorten van schade die als gevolg van schadeveroorzakende gebeurtenissen kunnen voorkomen,
deelt Hoffmann (1985) als volgt in: directe zaakschade, indirecte zaakschade, directe
vermogensschade, indirecte vermogensschade, persoonsschade en aansprakelijkheidsschade.
Schadevormen Beschrijving
1. Directe zaakschade Vernietiging of beschadiging van materiële
vermogensbestanddelen.
2. Indirecte zaakschade Zaakschade die als gevolg van een andere schade optreedt.
3. Directe vermogensschade Verlies van immateriële waarden (verlies van knowhow,
rechten, inversteringsverliezen).
4. Indirecte vermogensschade Vermogensschade ten gevolge van andere schaden.
5. Persoonsschade (incl. Schade in de vorm van letsel, ziekte, invaliditeit en overlijden
gevolgschade) van personen.
6. Aansprakelijkheidsschade Schade als gevolg van de privaatrechtelijke aansprakelijkheid
van de organisatie voor letsel-, materiële en vermogensschade
van derden.
Aanpak van de Federation of European Risk Management Associations
Hierin zijn ook aanwijzingen voor de aanpak van de risico-identificatie opgenomen.
Risico-identificatie dient op een systematische manier te worden aangepakt, zodat alle belangrijke
activiteiten binnen de organisatie geïdentificeerd kunnen worden en alle risico’s uit die activiteiten
afgebakend kunnen worden. Alle wisselvalligheid met betrekking tot die activiteiten dient te worden
geïdentificeerd en gecategoriseerd. Bedrijfsactiviteiten en -besluiten kunnen op verschillende
manieren worden ingedeeld, zoals:
Strategisch deze activiteiten of besluiten betreffen de strategische doelstellingen van de
organisatie op lange termijn. Zij kunnen beïnvloed worden door factoren als beschikbaarheid van
kapitaal, wijzigingen in wet- en regelgeving, reputatie en verandering in de fysieke omgeving.
Hoofdstuk 5
Risico-identificatie = risico-inventarisatie is de eerste stap van het risicomanagementproces. De
organisatie spoort de potentiele gevaren op. Het is bestandsopnamen, die ertoe dient een overzicht
te krijgen van de risico’s die de organisatie op allerlei vlakken bedreigen. Ook risico’s die in de
toekomst een rol zouden kunnen spelen krijgen de aandacht.
Wanneer risicomanagement voor het eerst in de organisatie wordt toegepast, zal de risico-
identificatie grondig en compleet moeten worden uitgevoerd, maar ook daarna is alertheid voor het
ontstaan van nieuwe risico’s of de verandering van de bestaande risico’s gewenst. Een bestaande
risico-identificatie zal periodiek moeten worden geactualiseerd.
5.1 Aanpak van de risico-identificatie
Er bestaan in de praktijk geen waterdichte methoden van risico-identificatie. Er zijn wel een aantal
standaardwerkwijzen en – hulpmiddelen waarmee een organisatie een goed overzicht kan krijgen
van de belangrijkste risico’s. Er moet rekening gehouden worden met de aard en omvang van de
organisatie en de activiteiten die er worden verricht. Ook moet er overeenstemming zijn over de
aard van de risico’s die geïdentificeerd moeten worden.
5.1.1 Structuur van de risico-identificatie
Er vindt twee stappen plaats:
1. Een oriëntatie op de organisatie. Inzicht in de organisatie geeft de risicomanager al een richting
voor het bepalen van de risico’s.
2. Het bepalen van de reikwijdte (scope) van de identificatie. Hiermee beantwoordt de
risicomanager vragen als:
Welke doelstellingen van de organisatie zijn onderwerp van onderzoek?
Welke onderdelen van de organisatie zijn onderwerp van onderzoek?
In welke risico’s is nader inzicht geweest?
Het overzicht van organisatiedoelstellingen en -onderdelen en van de risicocategorieën die worden
betrokken bij de risico-identificatie, vormt een goed uitgangspunt voor het proces. Deze elementen
maken dan ook deel uit van een structuur van identificatie.
Wanneer een organisatie een risicoanalyse uitvoert, kan zij ook als volgt te werk gaan:
1. De risicomanager globaal nagaat aan welke potentiele risico’s de organisatie blootstaat, met
behulp van een oppervlakkige bedrijfsbrede risico-oriëntatie. Een hulpmiddel hiervoor is een
algemene checklist van statische en dynamische bedrijfsrisico’s bevat vragen die aanleiding
kunnen geven om bij de tweede stap tot een diepgaande risico-identificatie te gaan betreffende
de belangen, eigendomen en activiteiten van het bedrijf of de organisatie.
2. Gaat de risicomanager op systematische wijze na welke van de in de quick scan onderkende
risicoprobleemvelden in zijn bedrijf voorkomen en welke een nader onderzoek vergen. Het is
meestal niet mogelijk om de gedetailleerde identificatie allen uit te voeren, maar is er assistentie
nodig van interne en soms ook externe deskundigen.
5.1.2 Enkele benaderingen van risico-identificatie
Het identificeren van risico’s kan met behulp van verschillende werkwijzen.
Onderzoek naar samenhang tussen schadeoorzaak, belang en schadevorm
De eerste benadering om risico’s te identificeren, onderzoekt de samenhang tussen potentiële
schadeoorzaken en de belangen, objecten of personen die aan deze schadeoorzaken blootgesteld
zijn, en de schade die als gevolg van de risico’s kan ontstaan.
, De gebeurtenissen die oorzaak kunnen zijn van een storing of schade, kunnen als volgt worden
onderverdeeld:
Gebeurtenissen die tot persoonsschade leiden (ziekte, letsel)
Gebeurtenissen die uitsluitend immateriële schade veroorzaken (misbruik merken of
bedrijfsspionage)
Gebeurtenissen die zowel materiële als immateriële schade veroorzaken (brand, storm,
explosie, aanrijding of overstroming).
Gebeurtenissen veroorzaakt door technische en organisatorische oorzaken (machineschaden
door uitval van de energievoorziening).
Gebeurtenissen in de omgeving van de organisatie die schade veroorzaken (het wegvallen van
toeleveranties, politieke risico’s).
Gebeurtenissen die schade aan derden veroorzaken (levering gebrekkige producten, vervuiling
milieu).
Bij personen of belangen die aan risico’s onderhevig zijn, is er een onderscheid in:
Personen (medewerkers, zakenrelaties, bezoekers, omwonenden)
Onroerende zaken
Machines en inventaris
Voorraden
Rollend materieel
Niet-materiële belangen.
De soorten van schade die als gevolg van schadeveroorzakende gebeurtenissen kunnen voorkomen,
deelt Hoffmann (1985) als volgt in: directe zaakschade, indirecte zaakschade, directe
vermogensschade, indirecte vermogensschade, persoonsschade en aansprakelijkheidsschade.
Schadevormen Beschrijving
1. Directe zaakschade Vernietiging of beschadiging van materiële
vermogensbestanddelen.
2. Indirecte zaakschade Zaakschade die als gevolg van een andere schade optreedt.
3. Directe vermogensschade Verlies van immateriële waarden (verlies van knowhow,
rechten, inversteringsverliezen).
4. Indirecte vermogensschade Vermogensschade ten gevolge van andere schaden.
5. Persoonsschade (incl. Schade in de vorm van letsel, ziekte, invaliditeit en overlijden
gevolgschade) van personen.
6. Aansprakelijkheidsschade Schade als gevolg van de privaatrechtelijke aansprakelijkheid
van de organisatie voor letsel-, materiële en vermogensschade
van derden.
Aanpak van de Federation of European Risk Management Associations
Hierin zijn ook aanwijzingen voor de aanpak van de risico-identificatie opgenomen.
Risico-identificatie dient op een systematische manier te worden aangepakt, zodat alle belangrijke
activiteiten binnen de organisatie geïdentificeerd kunnen worden en alle risico’s uit die activiteiten
afgebakend kunnen worden. Alle wisselvalligheid met betrekking tot die activiteiten dient te worden
geïdentificeerd en gecategoriseerd. Bedrijfsactiviteiten en -besluiten kunnen op verschillende
manieren worden ingedeeld, zoals:
Strategisch deze activiteiten of besluiten betreffen de strategische doelstellingen van de
organisatie op lange termijn. Zij kunnen beïnvloed worden door factoren als beschikbaarheid van
kapitaal, wijzigingen in wet- en regelgeving, reputatie en verandering in de fysieke omgeving.
