Risico analyse

Als ICT’er werk je samen met organisaties, bedrijven en/of ondernemers. Misschien ben je zelf wel misschien ondernemer. Hierbij maak je gebruik van kansen, maar er treden ook bedreigingen op. Een risico is een onzekere gebeurtenis in de toekomst die invloed kan hebben op een onderneming (Digital trust center, z.d.). Met een risicoanalyse breng je interne en/of externe risicofactoren in kaart. De sleutel bij het beheersen van risico’s is om bewuste keuzes te maken, bijvoorbeeld voor meer digitale veiligheid.

Bij risico’s spelen interne factoren zoals het eigen bewustzijn over veiligheid en de (on)ervarenheid van je team een rol. Bij externe risico’s gaat het bijvoorbeeld om wet- en regelgeving of nieuwe technische of economische ontwikkelingen. Het kan raadzaam zijn om eerst een SWOT-analyse (Scharwachter, 2023) te doen. Zo breng je voor je team of (eigen) bedrijf in kaart te wat je strengths (S) en weaknesses (W) zijn en wat in je omgeving de Opportunities (O) en Threads (T) zijn.

Nadat je een SWOT-analyse hebt gemaakt kun je middels een vier-stappenplan je risico’s in kaart brengen. Deze kan in een apart rapport (mag als markdown-bestand op GitLab) opgenomen worden in je project, of onderdeel vormen van een plan van aanpak, adviesrapport, stageverslag of scriptie (Scharwachter en Benders, 2023). Afhankelijk van de context, kun je eventueel je risicoanalyse focussen op bijvoorbeeld het halen van een deadline of het besparen van geld.

Stappenplan

Hieronder volgt het stappenplan beheersing risico’s:

Stap 1

Bepaal wat je wilt beschermen

• Wat is van waarde voor jouw team of organisatie?
• Zijn dit bijvoorbeeld (klant)gegevens of kennisproducten zoals software?

Stap 2

Identificeer de risico’s

• welke risico’s zijn er bij de “kroonjuwelen” van hoge waarden?
• Zitten er kwetsbaarheden in het systeem dat je bouwt voor hacking of andere malafide praktijken?
• Kun je door onervarenheid per ongeluk data of software verwijderen?

Hiervoor is het belangrijk om te kijken naar eerdere ervaringen van jou of je omgeving met wat er mis kan gaan op ICT-gebied. Ook is het goed om je bewust te zijn van wet- en regelgeving als de Algemene Verordening Gegevenesbescherming (AVG) om het risico op een datalek concreet te maken. Vraag het ook aan experts in je omgeving.

Stap 3

Analyseer de gevonden risico’s

• Stel dat een risico waarheid wordt, wat is dan het gevolg?
• Hoe groot is de kans dat het risico zich voordoet.

Dit is in feite de kern van je risicoanalyse, die wordt gedefinieerd door de formule:

$$risico=kans\times gevolg$$

Dus de $kans$, uitgedrukt in een percentage groter dan nul en kleiner dan $100\mathrm{\%}$ vermenigvuldigd met het $gevolg$, de impact ALS het risico zich voordoet.

Dit $gevolg$ kun je uitdrukken in euro’s die het kost om het risico te verhelpen maar ook in verloren tijd om de schade te herstellen.

Denk hierbij ook aan indirecte gevolgen, bijvoorbeeld reputatieschade of claims van klanten als klantgegevens op straat komen te liggen. Als het niet lukt om het risico van een stroomstoring kwantitatief uit te drukken in bijvoorbeeld 20% (als een stroomstoring 1x in de 5 jaar plaatsvindt) x 5 uur (als dat de gemiddelde duur is van het niet kunnen werken door een storing), kun je ook voor een kwalitatieve methode kiezen. Dan kies je bijvoorbeeld drie categorieën Laag, Medium en Hoog in plaats van een kanspercentage en/of het gevolg in geld of tijd. Een mix van kwantitatief en kwalitatief mag ook (Scharwachter en Benders, 2023).

Stap 4

Besluit wat je doet

Kies per risico uit een van deze vier mogelijkheden:

1. Accepteren - niets doen. Alleen als zowel de kans als het gevolg klein is.
2. Oplossen - maatregelen treffen om het risico te beperken of uit te sluiten. Dit doe je als de kans groot is, maar het gevolg klein. Denk aan het maken van een back-up.
3. Overdragen - verschuif het risico naar bijvoorbeeld een verzekering. Dit doe je als de kans klein is, maar het gevolg groot, zoals bij brand in een serverruimte.
4. Stoppen - activiteiten niet doen als de hiermee gepaard gaande risico’s zowel een grote kans als grote gevolgen hebben. Denk aan het werken met illegale software.

Vier mogelijke acties. Bron: digitaltrustcenter.nl

Risicoanalyse in het agile proces

Net als alles bij agile werken, is ook een risicoanalyse een cyclisch proces. De risico’s van vandaag zijn mogelijk anders als de risico’s over een paar weken. Bespreek je risico’s daarom regelmatig, bijvoorbeeld bij iedere retrospective. Als er nieuwe of veranderende risico’s optreden, bespreek deze dan ook eventueel (opnieuw) met een expert en pas je risicoanalyse aan. Via de Digital trust center-site van het Ministerie van Economische Zaken kun je de risicoklasse van een specifieke or

Oefeningen: risicoanalyse

Quizvraag

Welke maatregel tref je bij de huidige manier van werken in GitLab al (als het goed is) om risico’s omtrent het verlies van de software die je bouwt te voorkomen?

Opdracht 1a.

Vul de Risicoklassenindeling Digitale Veiligheid in op het Digital trust center van de overheid. Je mag hierbij een fictief bedrijf in gedachten nemen, bijvoorbeeld het bedrijf waar je met je project voor werkt, stage hebt gelopen / zou willen lopen / een bijbaan hebt, je eigen (al of niet nog op te richten) bedrijf, …

• Welke risico’s en maatregelen komen uit het rapport dat je zo genereert?
• Wat zijn de geadviseerde maatregelen?
• Kun je wat met deze maatregelen? Waarom wel of waarom niet?

Opdracht 1b.

Download de Lijst van mogelijke risico’s van Scribbr (Scharwachter en Benders, 2023). Kies of je een risicoanalyse op bedrijfsniveau of op projectniveau (zie ook opdracht 2) wilt doen. Beantwoord dezelfde vragen als hierboven.

Opdracht 2.

Maak een SWOT-analyse van je eigen projectteam. Doe op basis hiervan een risicoanalyse, bepaal kans en gevolg van ieder risico en zet dit in een risicomatrix (zie Scharwachter en Benders, 2023) met een kwantitatieve of kwalitatieve schaal (zie hierboven).

• Wat zijn de grootste risico’s?
• Zijn er risico’s groter of juist kleiner dan je dacht?
• Welke maatregel neem je als team per risico?

Achtergrond informatie

Risico-analyse

Risico-analyses zijn al eeuwen oud maar het is pas in de laatste eeuw dat het werk is geformaliseerd en gevat in methoden. Een handelaar als Marco Polo in de 15e Eeuw dacht na over de hoeveelheid geld die het zou kosten om een handelsreis te starten naar een ver land en hoeveel geld het zou opleveren bij de verkoop van goederen bij thuiskomst. Als het te veel kost om de spullen te kopen, om de vervoersmiddelen te regelen en bescherming tijdens de reis, dan was het de onderneming niet waard. Marco Polo is rijk geworden met een reis over land naar China en terug; een heel risicovolle onderneming maar duidelijk zeer geslaagd. In de 16e Eeuw voeren koopvaardijschepen met bewapening aan boord naar verre oorden, omdat de verkoop van specerijen in het thuisland toch zo veel opleverde dat het de investering waard was. En als je spullen van thuis kunt verkopen in het buitenland, kan je al geld verdienen aan de heenreis.

In de huidige tijd weten we dat geld niet de enige overweging is. Als je tegenwoordig met het vliegtuig reist, zal de maatschappij een omweg maken rond conflictgebieden omdat het niet het risico wil lopen dat een vliegtuig met alle mensen aan boord niet heelhuids terugkomt. Via wetgeving wordt ook het een en ander afgedwongen; we willen voorkomen dat onze producten door kinderhanden worden gemaakt of leiden tot milieuschade in het proces. Daarom zijn ook daarvoor maatregelen nodig. Zo moet een bedrijf voor elk gefabriceerd product kunnen overleggen uit welke materialen het bestaat (Bill of materials) om te kunnen bepalen waar er gewerkt is met gevaarlijke stoffen die dan ook weer op een veilige manier moeten worden opgeruimd (zie de Europese wet over “RoHS”).

Bij het bepalen van risico gaat het altijd over de toekomst en over onzekerheden. Als iets niet onzeker is, kan je je al voorbereiden. Als je het aantal inschrijvingen voor volgend jaar weet, kan je voldoende lokalen en docenten regelen. Maar omdat je niet kan weten of iemand ziek gaat worden of wanneer, heb je maatregelen nodig om het probleem op te vangen van een klas zonder docent. Het is ook mogelijk dat een student ziek wordt op enig moment. Omdat dit nauwelijks invloed heeft op het verloop van het onderwijs, houden we hier niet expliciet rekening mee.

Hieruit kan je afleiden dat er twee factoren zijn die in een risico-analyse worden meegenomen;

1. Kans; De kans dat een bepaalde onverwachte en onvermijdbare gebeurtenis optreedt
2. Impact; De hoeveelheid ‘schade’ die je oploopt als deze gebeurtenis optreedt.

Vervolgens pas je de formule toe;

Risico = Kans * Impact

Als je de kans bepaalt in termen van een percentage, dan kan je uitrekenen hoe vaak dit voorkomt in bij voorbeeld een jaar tijd.

De vermenigvuldiging van de kans met de impact (hoeveelheid schade) levert dan een gemiddeld verwachte schadepost op.

Bij een jaarlijkse kans van 1% dat een bepaald risico optreedt met een schade van 1.000.000 als het optreedt krijg je een formule 1% * EUR 1.000.000 en kan je verwachten gemiddeld EUR 10.000 kwijt te zijn op jaarbasis aan dit risico.

Oorzaken en gevolgen

Risico’s treden niet geïsoleerd op. Een opslag brandt niet uit het niets af, een auto raakt niet zomaar van de weg in de sloot, het komt door een samenloop van omstandigheden. Je kan het zien als een soort domino-effect; wanneer een aantal domino’s achter elkaar omvallen treedt het echte probleem op. Dat probleem kan dan ook weer meerdere effecten hebben; schade, kosten, hospitalisatiekosten, reputatieschade, rechtzaakkosten, reparatiekosten en zo meer.

Daarom probeert men bij bedrijfsvoering bepaalde factoren zo veel mogelijk weg te nemen zodat de risico’s ook zo min mogelijk kunnen voorkomen. Met brandblussers kan je ervoor zorgen dat een klein brandje niet groot wordt. Via branddeuren tussen ruimtes beperk je de gevolgen van een brand. Met boetes zorgen we ervoor dat mensen niet snel geneigd raken afleiding te zoeken als ze achter het stuur zitten. Met vangrails beperk je de gevolgen als iemand toch van de weg raakt. Met al deze maatregelen wordt de kans op een echt groot ongeluk kleiner of wordt de schade ingedamd.

Zie ook; Sanenloop omstandigheden explosie Deepwater Horizon

Oorzaak-gevolg-analyse

Omdat de samenloop van omstandigheden een complex oorzaak-gevolg-effect kunnen opleveren, worden risico’s ook weergeven via een Ishikawa-diagram of visgraatdiagram. Meerdere (kleine) factoren samen kunnen een groter probleem opleveren en die kunnen in combinatie die ene gebeurtenis laten opleveren die we het risico noemen.

WikiPedia heeft een voorbeeld van een Ishikawa-diagram

Soorten maatregelen

Het tegengaan van risico’s kan gebeuren met maatregelen vooraf, tijdens en achteraf bepaalde processen

• Preventief; het voorkomen van het optreden van een risico of één van de aanloopfactoren. Voorbeelden; bouwen met onbrandbare materialen, afstandsregels tussen vliegtuigen.
• Detectief; het in de gaten houden van de situatie zodat er meteen kan worden opgetreden wanneer een risico optreedt. Voorbeelden; camera’s, thermometers.
• Correctief; het achteraf terugdraaien van effecten wanneer het risico al is opgetreden. Voorbeeld; het terugsturen van apparaten ter reparatie, het opsporen van ontvreemde valuta om dit terug te eisen.

Voorbeeld berekening kosten

Voorbeeld: Ziekteverzuim

In Nederland was het ziekteverzuim onder werknemers in het derde kwartaal van 2023 4,8 procent. Dat is het totaal aantal ziektedagen dat iemand heeft opgenomen als percentage van het totaal gewerkte aantal dagen. bron: CBS

De (gemiddelde) schade bij één ziektedag is in ieder geval het salaris van de werknemer, en de toegevoegde waarde die deze werknemer zou leveren als deze er was geweest. Als het gemiddelde salaris per werknemer € 45.400 per jaar is (zie link) dan is dat in ieder geval 189.15 Euro per werkdag. bron: mkbservicedesk

In een jaar zou je dan kunnen zeggen dat je ongeveer €45.400 x 4,8%, dus € 2179.2 kwijt bent aan een werknemer door ziekte. Natuurlijk is dit een heel ruwe schatting; naarmate mensen in hogere functies zitten zullen ze meer verdienen en minder ziekteverzuim oplopen, en in sectoren met zware beroepen is het ziekteverzuim hoger dan in andere sectoren.

Bronnen

• Digital trust center. (z.d.). Stappenplan Risicoanalyse. Ministerie van Economische Zaken en Klimaat.
• Scharwachter, V. en Benders, L. (2023). Een perfecte risicoanalyse voor je opdrachtgever. Scribbr.
• Scharwachter, V. (2023). SWOT-analyse in je scriptie | Betekenis, Voorbeeld & Invulschema. Scribber.
• ISO-standaard voor risicomanagement
• OMG standaard voor risicoanalyse
• Risicobeheer op Wikipedia