Wat voor de één een groot risico vormt, is voor de ander verwaarloosbaar. Daarom is het belangrijk dat er een waarde wordt toegekend aan het risico. Op die manier krijgt het risico voor iedereen in de onderneming hetzelfde belang. Waarde toekennen kan door te bepalen wat de kans van optreden is en wat vervolgens de mogelijke impact hiervan is. Dat klinkt misschien simpel, maar hoe bepaal je het risico zonder statistische onderbouwing van historische ervaringscijfers?
In veel organisaties wordt een inschatting gemaakt van beide grootheden. De kans van optreden wordt vaak weergegeven op een schaal van 1 tot 5 waarbij 1 weergeeft dat de kans dat de risicogebeurtenis bijvoorbeeld de eerste 3 jaar niet zal optreden. De 5 kan bijvoorbeeld aangeven dat de verwachting is dat het binnen 1 maand vanaf nu op zal treden. De organisatie zelf zal moeten bepalen hoe deze schaalverdeling het best kan worden ingedeeld.
Op internet zijn hier veel goede voorbeelden van te vinden. Hetzelfde geldt voor de impact van een risico. Ook hier wordt vaak dezelfde schaal van 1 t/m 5 voor gehanteerd waarbij 1 een verwaarloosbare impact is terwijl een 5 een ernstige bedreiging voor de continuïteit van de organisatie kan betekenen.
Kans optreden risico x impact risico = risicowaarde
Naast bovengenoemde indelingen zijn er meer categorieën denkbaar. Zo kan ook nog het onderscheid gemaakt worden tussen strategische en operationele risico’s. Voor de beheersing van risico’s is het belangrijkste dat vooraf duidelijk wordt gecommuniceerd aan alle deelnemers van het ‘risk assessment’ welke definities en indeling gehanteerd worden en hoe de risico’s worden ingeschat. Alleen zo is het mogelijk te komen tot een gezamenlijke risicokaart die voor iedereen herkenbaar is.