Elke organisatie loopt de nodige risico’s. Als die niet goed beheerst worden, kan dat leiden tot grote financiële gevolgen. Steeds vaker wordt daarom een risicomanagementproces ingericht. Dit proces moet helpen om de gevolgen van risico’s te beperken. Bij risicomanagement spelen veel begrippen een belangrijke rol, zoals brutorisico en nettorisico. Wat is het verschil?
Risicomanagement gaat over het beheersen van de risico’s van een organisatie. Het is dus eerst belangrijk om te weten wat een risico is. Een risico is te definiëren als: een onzekere gebeurtenis die invloed heeft op het realiseren van een of meerdere doelstellingen. Soms is deze invloed groot. In risicotermen spreken we dan over een risico met een grote impact. De impact kan positief of negatief zijn. Bij een positieve impact is er sprake van een gebeurtenis die een positieve invloed heeft op het realiseren van doelstellingen. Bij een negatieve impact wordt de realisatie van doelstellingen juist bedreigd. Inzicht in de waarschijnlijkheid en impact van een risico biedt de mogelijkheid een rangorde te bepalen van risico’s en de juiste prioriteiten te stellen in het beheersen daarvan. Dit is bijvoorbeeld van belang bij het opstellen van een begroting en budgetteren (tool). De grootte van een risico wordt bepaald door de waarschijnlijkheid dat een onzekere gebeurtenis plaatsvindt en de impact van deze gebeurtenis op het behalen van doelstellingen. Vertaald naar een wiskundige formule: Risico = Waarschijnlijkheid x Impact.
Er bestaat een verschil tussen bruto- en nettorisico. Onder brutorisico wordt het risico verstaan dat een organisatie loopt zonder het effect van zogenoemde mitigerende maatregelen. Dat zijn maatregelen die negatieve effecten van een handeling voorkomen of reduceren. Een andere veelgebruikte term voor brutorisico is het inherente risico. Gelukkig kunnen organisaties vaak maatregelen treffen die de waarschijnlijkheid van een risicovolle gebeurtenis verminderen of de impact daarvan verlagen. Een risico volledig elimineren is vaak niet mogelijk. Nettorisico is het risico dat overblijft na het effect van getroffen maatregelen. In plaats van nettorisico wordt ook vaak het woord ‘restrisico’ gebruikt.
RUTORISICO OF INHERENT RISICO: het risico dat een organisatie loopt zonder het effect van zogenoemde mitigerende maatregelen. Dat zijn maatregelen die negatieve effecten van een handeling voorkomen of reduceren.
NETTORISICO OF RESTRISICO: het risico dat overblijft na het effect van getroffen maatregelen.