Beleid Uniforme Risicobeoordeling (URR)

Doel van dit document

Dit document beschrijft de methodologie die door de organisatie en haar entiteiten (indien van toepassing) wordt gebruikt voor het beoordelen van risico’s.

Het doel van de Uniforme Risicobeoordeling (URR) is het verkrijgen van een beter inzicht in risico’s door het bepalen van de verwachte impact en de waarschijnlijkheid dat een risico-event zich voordoet.

De URR definieert een schaal voor de beoordeling van:

de impact van een risico; en
de waarschijnlijkheid dat een risico zich materialiseert.

De URR wordt gebruikt door de drie verdedigingslinies om operationele risico’s te beoordelen, inclusief informatie- en cyberrisico’s.

Definities

“Risico” is het effect van onzekerheid op doelstellingen.
Een effect is een afwijking van het verwachte en kan zowel positief als negatief zijn.

Een operationeel risico-gerelateerd “incident” is elk voorval waarbij sprake is van:

een falend of onvoldoende functionerend intern proces of procedure;
mensen die niet of niet correct handelen;
systemen die niet of niet correct functioneren;
een externe gebeurtenis die de goede werking van processen, mensen of systemen beïnvloedt.

Impact van risico’s

Impactcategorieën

Gezondheid
Impact op de fysieke of mentale gezondheid van personen
Persoonlijke sfeer
Impact op privacy, persoonlijke levenssfeer en bescherming van persoonsgegevens.
Dagelijks leven
Impact op het normaal functioneren van het dagelijks leven van personen.
Welzijn
Impact op het algemeen welzijn, comfort of gevoel van veiligheid van personen.
Financiële impact
Rechtstreekse financiële schade of kosten voor personen of organisaties.
Economics
Impact op economische activiteiten, markten of bedrijfscontinuïteit.
Veiligheid en openbare orde
Impact op openbare veiligheid, ordehandhaving of maatschappelijke stabiliteit.
Impact op internationale instellingen
Impact op het functioneren, de reputatie of de samenwerking van internationale instellingen.
Reputatie
Impact op het vertrouwen en de geloofwaardigheid van de organisatie bij interne en externe stakeholders.
Regulatory impact
Impact als gevolg van niet-naleving van wettelijke of regelgevende verplichtingen.

Bron: impactschalen van CCB.
—> Hoewel reputatie niet expliciet als aparte impactcategorie is opgenomen door CCB, wordt deze hier toegevoegd omdat reputatieschade een significante indirecte impact kan hebben op continuïteit, vertrouwen en maatschappelijke legitimiteit.

—> Hoewel regulatory impact niet expliciet als aparte impactcategorie wordt onderscheiden door CCB, wordt deze hier opgenomen omdat niet-naleving van regelgeving een zelfstandige en significante impact kan hebben op organisaties onder NIS2.

Beoordelen van impact

De impact wordt bepaald op basis van het slechtst mogelijke effect, rekening houdend met het slechtst mogelijke moment waarop dit effect zich kan voordoen..

Voorbeeld: Een risico dat wordt beoordeeld als “Medium” voor financiële impact, “Laag” voor reputatie-impact en “Laag” voor regelgevende impact, maar “Zeer Hoog” voor economische impact, wordt in totaal beoordeeld als “Zeer Hoog”.

Uniforme impactschaal

5 – Zeer Hoog (ZH)
4 – Hoog (H)
3 – Medium (M)
2 – Laag (L)
1 – Zeer laag (ZL)

Impactschaal gezondheid

Impactschaal	Impact op de gezondheid
5 – Zeer Hoog (ZH)	Meer dan 200 doden, chronisch zieken of personen met een langdurige handicap. Meer dan 75 000 personen met ernstige of langdurige gezondheidsproblemen. Ernstige milieuschade die het natuurlijke leefmilieu van het land bedreigt.
4 – Hoog (H)	Tientallen doden of blijvend zwaar gewonden. Grote groepen mensen met ernstige gezondheidsproblemen of langdurige medische zorgbehoefte. Ziekenhuiscapaciteit ernstig onder druk; nood aan nationale of internationale medische bijstand. Belangrijke milieuschade met langdurige gevolgen voor ecosystemen of voedselketens.
3 – Medium (M)	Aanzienlijke schade aan de gezondheid van personen, zonder dodelijke of levensbedreigende verwondingen. Individuen ervaren aanzienlijke fysieke of psychologische hinder (angst, stress, tijdelijke invaliditeit). Grote milieuschade die het natuurlijke leefmilieu van het land bedreigt.
2 – Laag (L)	Beperkte impact op de gezondheid van personen; tijdelijke letsels of gezondheidsproblemen die zonder langdurige behandeling herstellen. Beperkte noodzaak tot medische opvolging of lokale hulpverlening. Kleine milieuschade, lokaal herstelbaar binnen korte termijn.
1 – Zeer Laag (ZL)	Beperkte schade aan de gezondheid van personen, zonder levensbedreigende of ernstige verwondingen. Geen langdurige medische gevolgen; enkel minimale hinder of ongemak.

Impactschaal persoonlijke sfeer

Impactschaal	Impact op de persoonlijke sfeer
5 – Zeer Hoog (ZH)	Ernstige en grootschalige schending van de persoonlijke levenssfeer. Gevoelige of medische persoonsgegevens van grote groepen personen worden publiek of misbruikt. Aanhoudend verlies van vertrouwen in instellingen of diensten, langdurige maatschappelijke onrust. Individuen ondervinden langdurige psychologische of sociale schade door verlies van privacy of identiteit.
4 – Hoog (H)	Aanzienlijke schending van privacy waarbij gevoelige gegevens worden gelekt of misbruikt. Individuen ervaren ernstige persoonlijke of professionele gevolgen (stigmatisering, identiteitsfraude, reputatieschade). Beperkte groep betrokkenen, maar met zware impact op hun persoonlijke levenssfeer. Tijdelijk verlies van vertrouwen in betrokken organisaties of diensten.
3 – Medium (M)	Inbreuk op privacy met merkbare maar herstelbare gevolgen voor betrokken personen. Beperkte verspreiding van persoonlijke gegevens of inbreuk op vertrouwelijkheid. Tijdelijke hinder of ongemak (b.v. correctie van gegevens, beperkte reputatieschade). Geen blijvend verlies van vertrouwen of maatschappelijke impact.
2 – Laag (L)	Kleine en incidentele schending van privacy zonder merkbare schade. Beperkte blootstelling van persoonsgegevens binnen gecontroleerde kring. Individuen ervaren hooguit tijdelijke irritatie of administratieve last.
1 – Zeer Laag (ZL)	Geen of verwaarloosbare inbreuk op de persoonlijke levenssfeer. Geen schade of hinder voor betrokken personen.

Impactschaal dagelijks leven

Impactschaal	Impact op het dagelijks leven
5 – Zeer Hoog (ZH)	Ernstige en langdurige verstoring van het dagelijks leven van een groot aantal burgers. Noodvoorzieningen of vitale infrastructuren vallen uit (bv. energie, water, transport, communicatie). Burgers verliezen langdurig toegang tot essentiële diensten of basisbehoeften. Wijdverspreide maatschappelijke ontwrichting of onrust; afhankelijkheid van noodhulp.
4 – Hoog (H)	Aanzienlijke verstoring van het dagelijks leven, met impact op een brede bevolkingsgroep. Tijdelijke onbeschikbaarheid van essentiële diensten (bv. gezondheidszorg, nutsvoorzieningen, mobiliteit). Burgers ervaren ernstige hinder, stress of verlies van vertrouwen in publieke voorzieningen. Lokale of regionale noodsituatie vereist coördinatie van hulpdiensten.
3 – Medium (M)	Merkbare verstoring van het dagelijks leven, maar van beperkte duur of schaal. Tijdelijke onderbreking van publieke of digitale diensten met ongemak voor burgers. Beperkte nood tot alternatieve maatregelen of tijdelijke compensaties. Geen langdurige maatschappelijke schade of structureel verlies van vertrouwen.
2 – Laag (L)	Kleine hinder in het dagelijks functioneren, beperkt tot lokale of kortstondige incidenten. Burgers ervaren hooguit irritatie of kleine vertragingen (bv. korte IT-storingen, beperkte serviceonderbreking). Geen nood aan externe hulp of grootschalige herstelmaatregelen.
1 – Zeer Laag (ZL)	Geen merkbare verstoring van het dagelijks leven. Geen gevolgen voor burgers of publieke dienstverlening.

Impactschaal welzijn

Impactschaal	Impact op welzijn
5 – Zeer Hoog (ZH)	Ernstige en langdurige aantasting van het welzijn van grote groepen mensen. Massale gevoelens van angst, onzekerheid of verlies van veiligheid. Wijdverspreide psychosociale schade, trauma of maatschappelijke ontwrichting. Blijvend verlies van vertrouwen in instellingen of gemeenschappen.
4 – Hoog (H)	Aanzienlijke impact op het welzijn van groepen of gemeenschappen. Individuen ervaren langdurige stress, angst of sociale uitsluiting. Beperkte toegang tot noodzakelijke ondersteuning (gezondheid, financiën, werk). Tijdelijk verlies van vertrouwen in overheid, zorg of werkgever.
3 – Medium (M)	Merkbare maar herstelbare vermindering van het welzijn van individuen of kleine groepen. Tijdelijke stress, onzekerheid of frustratie door incident of verstoring. Beperkte sociale of economische gevolgen (bv. verlies van productiviteit of motivatie). Herstel mogelijk met beperkte interventie of communicatie.
2 – Laag (L)	Lichte hinder of ongemak zonder blijvende effecten op welzijn. Korte periode van onzekerheid of irritatie, snel hersteld. Geen nood aan professionele hulp of langdurige opvolging.
1 – Zeer Laag (ZL)	Geen merkbare impact op het welzijn van individuen of groepen. Geen stress, onzekerheid of verlies van vertrouwen vastgesteld.

Financiële impactschaal

Impactschaal	Financiële impact
5 – Zeer Hoog (ZH)	Zeer grote economische schade met langdurige gevolgen voor de organisatie of sector. Structureel verlies van inkomsten of activa; bedreiging van de continuïteit. Ernstige marktverstoring of domino-effect in de waardeketen. Herstel vergt externe steun of overheidsinterventie.
4 – Hoog (H)	Aanzienlijke financiële schade door langdurige onderbreking van activiteiten of verlies van kapitaal. Grote herstellings- of vervangingskosten, impact op liquiditeit en strategische projecten. Tijdelijke aantasting van financiële stabiliteit of kredietwaardigheid.
3 – Medium (M)	Merkbare financiële schade die invloed heeft op operationele marges of budgetten. Tijdelijk omzetverlies, bijkomende kosten voor herstel of juridische afhandeling. Geen bedreiging voor continuïteit, maar wel nood aan managementinterventie of herprioritering van middelen.
2 – Laag (L)	Beperkte financiële schade, binnen het tolerantie- of verzekeringsniveau. Kleine bijkomende uitgaven of tijdelijke kostenstijging. Geen blijvende invloed op winst, cashflow of strategie.
1 – Zeer Laag (ZL)	Verwaarloosbare of geen financiële schade. Geen meetbare invloed op budgetten of economische prestaties

Impactschaal economics

Impactschaal	Impact op economics
5 – Zeer Hoog (ZH)	Ernstige ontwrichting van de nationale of sectorale economie. Langdurige stilstand van vitale economische processen of markten. Massaal banenverlies, structureel verlies van concurrentievermogen. Nood aan grootschalige steunmaatregelen of overheidsinterventie.
4 – Hoog (H)	Aanzienlijke schade aan economische activiteiten of ketens. Tijdelijke sluiting van ondernemingen of productielijnen. Grote impact op toeleveringsketens, handel of investeringen. Herstel mogelijk, maar vereist coördinatie en financiële steun.
3 – Medium (M)	Merkbare maar herstelbare verstoring van economische processen. Tijdelijk productieverlies, vertraging in leveringen of projecten. Beperkte sectorale gevolgen; geen langdurige macro-impact.
2 – Laag (L)	Kleine economische hinder of lokale verliezen. Tijdelijke kostenstijging of vertraging zonder structurele schade.
1 – Zeer Laag (ZL)	Geen of verwaarloosbare economische impact. Geen merkbare invloed op productie, handel of diensten.

Impactschaal veiligheid en openbare orde

Impactschaal	Impact op veiligheid en openbare orde
5 – Zeer Hoog (ZH)	Ernstige bedreiging van nationale veiligheid of openbare orde. Massale paniek, rellen of geweldsincidenten. Uitval van vitale veiligheids- of noodsystemen. Grootschalige inzet van politie, leger of civiele bescherming vereist.
4 – Hoog (H)	Aanzienlijke aantasting van de openbare orde of veiligheid. Gecoördineerde criminele activiteit, cyberaanvallen of sabotage met regionaal effect. Tijdelijke instabiliteit of onrust in meerdere steden of sectoren.
3 – Medium (M)	Beperkte maar merkbare verstoring van orde of veiligheid. Lokaal incident met beperkte media- of publieke aandacht. Tijdelijke noodmaatregelen door lokale autoriteiten.
2 – Laag (L)	Kleine veiligheidsincidenten of ordeverstoringen, snel ingedamd. Geen structurele dreiging of noodtoestand.
1 – Zeer Laag (ZL)	Geen invloed op veiligheid of openbare orde. Geen nood aan interventie of crisisbeheer.

Impactschaal Internationale Instellingen

Impactschaal	Impact op internationale instellingen
5 – Zeer Hoog (ZH)	Ernstige ontwrichting van de werking van internationale instellingen op Belgisch grondgebied. Structureel verlies van vertrouwen of samenwerking binnen internationale organisaties. Schade aan internationale betrekkingen of reputatie van België.
4 – Hoog (H)	Aanzienlijke hinder of reputatieschade voor internationale instellingen. Tijdelijke onderbreking van activiteiten of samenwerking tussen lidstaten. Negatieve diplomatieke gevolgen voor België of EU-partners.
3 – Medium (M)	Merkbare maar tijdelijke verstoring van administratieve of operationele processen. Beperkt effect op de reputatie of internationale samenwerking.
2 – Laag (L)	Kleine hinder of vertraging in procedures of communicatie. Geen blijvende gevolgen voor relaties of werking.
1 – Zeer Laag (ZL)	Geen merkbare impact op internationale instellingen. Geen invloed op samenwerking of reputatie van België.

Impactschaal reputatie

Impactschaal	Impact op reputatie
5 – Zeer Hoog (ZH)	Ernstige en langdurige aantasting van het vertrouwen in de organisatie. Structureel verlies van geloofwaardigheid bij stakeholders. Langdurige negatieve publieke of maatschappelijke impact.
4 – Hoog (H)	Aanzienlijke reputatieschade met brede externe aandacht. Verlies van vertrouwen bij belangrijke stakeholders. Herstel vereist langdurige inspanningen en bestuurlijke betrokkenheid.
3 – Medium (M)	Merkbare reputatieschade met tijdelijke impact. Beperkt verlies van vertrouwen bij specifieke stakeholdergroepen. Herstel mogelijk met gerichte communicatie en maatregelen.
2 – Laag (L)	Beperkte en lokale reputatieschade. Tijdelijke negatieve perceptie zonder structurele gevolgen. Beperkte opvolging volstaat.
1 – Zeer Laag (ZL)	Geen of verwaarloosbare reputatie-impact. Geen merkbare invloed op vertrouwen of perceptie.

Impactschaal regulatory impact

Impactschaal	Regulatory impact
5 – Zeer Hoog (ZH)	Ernstige niet-naleving met zware sancties of handhavingsmaatregelen. Structurele beperkingen op activiteiten of vergunningen. Langdurig verhoogd toezicht door toezichthouders.
4 – Hoog (H)	Aanzienlijke niet-naleving met boetes of formele sancties. Verplicht corrigerend optreden onder toezicht van regulatoren. Relevante impact op bestuur en compliance-organisatie.
3 – Medium (M)	Niet-naleving met formele waarschuwingen of herstelverplichtingen. Verhoogde rapportering of tijdelijke toezichtsmaatregelen. Beperkte juridische of administratieve gevolgen.
2 – Laag (L)	Kleine inbreuk op regelgeving zonder sancties. Informele opvolging of corrigerende acties vereist. Geen structurele gevolgen voor compliance positie.
1 – Zeer Laag (ZL)	Geen of verwaarloosbare niet-naleving. Geen actie of tussenkomst van toezichthouders.

Waarschijnlijkheid van risico’s

Beoordelen van waarschijnlijkheid

De organisatie hanteert een eenvoudige ordinale schaal om risico’s te rangschikken op basis van de waarschijnlijkheid dat de geïdentificeerde risico’s zich voordoen.
De schaal geeft de mate van waarschijnlijkheid weer, geordend van één tot vijf.

De waarschijnlijkheidsscore weerspiegelt hoe waarschijnlijk het is dat de beschreven nadelige impact zich zal voordoen.

De waarschijnlijkheid dat een risico, gerelateerd aan een kwetsbaarheid, zich materialiseert, wordt beoordeeld op basis van de kans dat dit risico zich in de voorzienbare toekomst zal voordoen (d.w.z. binnen de komende 3 tot 5 jaar).

Waarschijnlijkheidschaal

Waarschijnlijkheid	Bandbreedte	Definitie
5 – Zeer Hoog (ZH)	81-100%	Het risico-event is (bijna) zeker binnen de voorzienbare toekomst (3–5 jaar). De aard van de activiteit, de blootstelling en de context maken dat dit scenario structureel plausibel en herhaaldelijk voorkomend is.
4 – Hoog (H)	61 – 80%	Het risico-event is waarschijnlijk binnen 3–5 jaar. De combinatie van blootstelling, sectorcontext en gekende risicopatronen maakt het scenario realistisch, ook zonder uitzonderlijke omstandigheden.
3 – Medium (M)	41 – 60%	Het risico-event is mogelijk, maar vereist specifieke omstandigheden of samenloop van factoren. Het scenario is plausibel, maar niet dominant of vanzelfsprekend.
2 – Laag (L)	21 – 40%	Het risico-event is onwaarschijnlijk, maar niet uitgesloten. De aard van de activiteiten en context maken dat het scenario slechts in uitzonderlijke omstandigheden kan optreden.
1 – Zeer Laag	0 – 20%	Het risico-event is zeer onwaarschijnlijk binnen 3–5 jaar. Er zijn geen sterke indicaties dat dit scenario zich in de normale context van de organisatie zal voordoen, al blijft het theoretisch mogelijk.

Waarschijnlijkheid en dreigingsactoren

Inzichten over dreigingsactoren maken deel uit van het bredere dreigingslandschap en dragen bij aan de inschatting van de waarschijnlijkheid dat risico-events zich voordoen.

Deze inzichten worden gebruikt als context bij de beoordeling van waarschijnlijkheid.

Waarschijnlijkheid	Perspectief dreigingsactor
5 – Zeer Hoog (ZH)	Dit type dreigingsactor is bekend met dit soort aanvallen vaak in onze sector uit te voeren. Het aanvalspatroon is goed gedocumenteerd en het is zeer waarschijnlijk dat soortgelijke aanvallen zich in de nabije toekomst opnieuw zullen voordoen.
4 – Hoog (H)	Dit type dreigingsactor heeft dit soort aanvallen eerder in onze sector uitgevoerd. Hoewel het misschien niet zo vaak voorkomt als “zeer waarschijnlijk’, zijn er sterke aanwijzingen dat dit risico relevant blijft en waarschijnlijk opnieuw zal optreden.
3 – Medium (M)	Dit type dreigingsactor heeft dit soort aanvallen uitgevoerd in vergelijkbare industrieën of regio’s, maar met minder bevestigde gevallen in onze sector. Er is een redelijke kans dat deze dreiging zich in de nabije toekomst zal voordoen.
2 – Laag (L)	Dit type dreigingsactor heeft dit soort aanvallen op wereldschaal uitgevoerd, maar niet specifiek in onze sector. Er is een kans dat het zich voordoet maar er zijn geen sterke indicatoren die wijzen op een onmiddellijk sectorspecifiek risico.
1 – Zeer Laag	Er zijn geen gegevens over dit soort dreigingsactoren die soort aanvallen uitvoeren in onze sector of vergelijkbare industrieën. Er zijn geen aanwijzingen dat dit in de nabije toekomst zal gebeuren, hoewel het een theoretische mogelijkheid blijft.

Bovenstaand kader is gebaseerd op richtlijnen en voorbeelden van het Centre for Cybersecurity Belgium (CCB), waarin inzichten over dreigingsactoren worden gebruikt om de waarschijnlijkheid van cyberrisico’s te contextualiseren binnen sectoren en dreigingslandschappen.

Aanvullende dreigingsinformatie
Ter verdere onderbouwing van deze context maakt de organisatie aanvullend gebruik van internationale databanken en rapporten, zoals MITRE. Deze bronnen bieden waardevolle inzichten in aanvalspatronen, tactieken en daderprofielen, die helpen om risico’s beter te duiden en de waarschijnlijkheid ervan geïnformeerd in te schatten.

Uniforme risicobeoordeling

Uniforme schaal voor risicobeoordeling

De organisatie gebruikt een 5-niveau schaal om risico’s te beoordelen:

Uniforme risicobeoordelingsschaal
Kritisch risico
Significant risico
Matig risico
Beperkt risico

Hittemap

De risicoscores maken het mogelijk risico’s weer te geven op een gestandaardiseerde hittemap (heatmap).

Waarschijnlijkheid
5 – ZH	Matig	Matig	Significant	Kritisch	Kritisch
4 – H	Matig	Matig	Significant	Kritisch	Kritisch
3 – M	Beperkt	Matig	Significant	Significant	Kritisch
2 – L	Beperkt	Matig	Matig	Significant	Kritisch
1 – ZL	Beperkt	Beperkt	Matig	matig	Significant
Impact	1 – ZL	2 – L	3 – M	4 – H	5 – ZH

Risicobehandeling (Risk treatment)

Voor elk geïdentificeerd risico wordt, in lijn met ISO 31000, een passende risicobehandelingsoptie bepaald.

De keuze voor een risicobehandelingsoptie houdt rekening met de risicobereidheid en risicotolerantie van de organisatie.

Risicobehandelingsopties

In lijn met ISO 31000 onderscheidt de organisatie de volgende risicobehandelingsopties:

Risico vermijden
Het stoppen of niet starten van activiteiten die aanleiding geven tot het risico, waardoor het risico niet langer kan optreden.
Risico verminderen
Het nemen van maatregelen om de waarschijnlijkheid en/of impact van het risico te verlagen.
Risico overdragen
Het geheel of gedeeltelijk overdragen van het risico aan een derde partij, bijvoorbeeld via contractuele afspraken, uitbesteding of verzekering, zonder dat de eindverantwoordelijkheid volledig verdwijnt.
Risico aanvaarden
Het bewust accepteren van het risico, zonder aanvullende maatregelen, binnen de vastgestelde risicobereidheid en risicotolerantie.

Voor elk risico wordt bewust één of meerdere risicobehandelingsopties gekozen, in functie van de context en het vastgestelde risiconiveau.

Governance

Eerste lijn

De eerste lijn omvat de functies die operationeel verantwoordelijk zijn voor processen, assets en activiteiten binnen de organisatie.

Tweede lijn (risicofunctie)

De tweede lijn omvat de functies die verantwoordelijk zijn voor het opzetten, faciliteren en bewaken van het risicokader binnen de organisatie.
Afhankelijk van het risicodomein kan deze rol worden opgenomen door onder meer de CRO, CISO, DPO, Compliance, kwaliteitsfunctie of een andere onafhankelijke tweedelijnsfunctie.

Derde lijn

De derde lijn omvat de onafhankelijke interne auditfunctie, die assurance verschaft over de doeltreffendheid van governance, risicobeheer en interne beheersing.

De organisatiebrede governance, inclusief de rolverdeling volgens het Three Lines Model, is vastgelegd in het document “Beleid voor organisatiebreed risicobeheer” (Enterprise Risk Management Policy).

Behandeling van kritische risico’s

Beleid

Kritische risico’s vereisen onmiddellijke aandacht en een expliciete bestuurlijke beslissing.

Toegelaten risicobehandelingsopties

Risico vermijden
Risico verminderen
Risico aanvaarden, mits formele en gemotiveerde besluitvorming

Niet toegelaten

Risico aanvaarden, zonder formele en gemotiveerde besluitvorming
Risico uitsluitend overdragen

Governance bij kritische risico’s

Kritische risico’s overstijgen het operationele niveau en vereisen expliciete besluitvorming op bestuursniveau, gezien hun potentiële impact op de continuïteit, veiligheid of wettelijke verplichtingen van de organisatie.

Rol	Governance bij kritische risico’s
Eerste lijn	identificeren kritische risico’s binnen hun verantwoordelijkheidsdomein; analyseren deze risico’s binnen hun operationele context; leveren inhoudelijke input over oorzaken, gevolgen en haalbaarheid van mogelijke maatregelen.
Tweede lijn risicofuncties	faciliteert en coördineert het risicoanalyseproces; bewaakt de toepassing van het vastgestelde risicokader (URR); toetst de consistentie, volledigheid en kwaliteit van de analyses; consolideert het kritische risico tot een besluitvormingsklaar dossier
Directiecomité	beoordeelt het kritische risico in functie van strategische en operationele doelstellingen; weegt de voorgestelde risicobehandelingsopties af; formuleert een gemotiveerd advies over risicobehandeling of aanvaarding.
Bestuursorgaan	beslist over de behandeling of aanvaarding van het kritische risico; keurt de motivatie en randvoorwaarden goed; draagt de eindverantwoordelijkheid voor de genomen beslissing.

Kritische risico’s worden geïdentificeerd en geanalyseerd in de eerste lijn,
gecoördineerd en bewaakt door de tweede lijn (risicofuncties), en formeel beslist door het bestuursorgaan.

Behandeling van significante risico’s

Beleid

Significante risico’s vereisen actieve risicobehandeling en een expliciete beslissing op directieniveau, gezien hun potentiële impact op de werking en doelstellingen van de organisatie.

Toegelaten risicobehandelingsopties

Risico verminderen
Risico overdragen (geheel of gedeeltelijk)
Risico aanvaarden, mits expliciete en gemotiveerde besluitvorming

Niet toegelaten

Risico aanvaarden zonder expliciete en gemotiveerde besluitvorming

Governance bij significante risico’s

Rol	Governance bij significante risico’s
Eerste lijn	identificeren significante risico’s binnen hun verantwoordelijkheidsdomein; analyseren deze risico’s binnen hun operationele context; leveren inhoudelijke input over oorzaken, gevolgen en haalbaarheid van mogelijke maatregelen
Tweede lijn risicofuncties	faciliteert en coördineert het risicoanalyseproces; bewaakt de toepassing van het vastgestelde risicokader (URR); toetst de consistentie, volledigheid en kwaliteit van de analyses; consolideert significante risico’s voor besluitvorming.
Directiecomité	beoordeelt het significante risico in functie van strategische en operationele doelstellingen; beslist over de risicobehandeling of aanvaarding; bepaalt randvoorwaarden voor opvolging en monitoring.
Bestuursorgaan	ontvangt periodieke rapportering over significante risico’s; oefent toezicht uit op het risicobeheer.

Significante risico’s worden geïdentificeerd en geanalyseerd in de eerste lijn,
gecoördineerd en bewaakt door de tweede lijn, en beslist door het directiecomité.

Behandeling van matige risico’s

Beleid

Matige risico’s zijn beheersbaar binnen de reguliere werking van de organisatie en vereisen een bewuste afweging over verdere risicobehandeling.

Toegelaten risicobehandelingsopties

Risico verminderen
Risico overdragen
Risico aanvaarden

Niet toegelaten

N.v.t.

Governance bij matige risico’s

Matige risico’s worden behandeld binnen de eerste lijn, binnen het vastgestelde risicokader en de risicotolerantie van de organisatie.

Rol	Governance bij matige risico’s
Eerste lijn	identificeren matige risico’s binnen hun verantwoordelijkheidsdomein; analyseren deze risico’s binnen hun operationele context; beslissen over de risicobehandeling of aanvaarding; implementeren en opvolgen eventuele maatregelen.
Tweede lijn risicofuncties	faciliteert en bewaakt de toepassing van het risicokader (URR); toetst de consistentie en kwaliteit van de risico-inschattingen; consolideert en rapporteert matige risico’s via de reguliere risicorapportering.

Matige risico’s worden geïdentificeerd, geanalyseerd en behandeld in de eerste lijn,
binnen het risicokader bewaakt door de tweede lijn.

Behandeling van beperkte risico’s

Beleid

Beperkte risico’s worden beschouwd als aanvaardbaar binnen de vastgestelde risicotolerantie en vereisen geen aanvullende risicobehandeling, tenzij dit eenvoudig of efficiënt kan worden gerealiseerd.

Toegelaten risicobehandelingsopties

Risico aanvaarden
Risico verminderen (optioneel, indien proportioneel)

Niet toegelaten

N.v.t.

Governance bij beperkte risico’s

Beperkte risico’s worden beheerd volledig binnen de eerste lijn, zonder escalatie naar hogere bestuursniveaus.

Rol	Governance bij beperkte risico’s
Eerste lijn	identificeren beperkte risico’s binnen hun verantwoordelijkheidsdomein; analyseren deze risico’s binnen hun operationele context; aanvaarden en monitoren deze risico’s binnen de reguliere werking.
Tweede lijn risicofuncties	bewaakt de toepassing van het risicokader (URR); consolideert en rapporteert beperkte risico’s op geaggregeerd niveau.

Beperkte risico’s worden geïdentificeerd, geanalyseerd en aanvaard in de eerste lijn,
binnen het risicokader bewaakt door de tweede lijn.

Voorwaarden bij aanvaarding

Aanvaarding van een kritisch of significant risico is enkel toegestaan indien:

de aanvaarding expliciet en formeel wordt gedocumenteerd;
de argumentatie aantoont waarom het risico onvermijdelijk, proportioneel of tijdelijk wordt aanvaard;
eventuele compenserende maatregelen of monitoring worden beschreven;
de beslissing wordt genomen op het hoogste bevoegde niveau.

Herziening en actualisatie

De Uniforme Methodologie voor Risicobeoordeling (URR) wordt minstens eenmaal om de drie jaar herzien, of eerder indien nodig, bijvoorbeeld naar aanleiding van:

significante wijzigingen in het risicoprofiel of de organisatiecontext;
relevante wijzigingen in wet- en regelgeving;
belangrijke incidenten of evaluaties.

Termen en definities

Risico (Risk)
Risico-event (Risk event)
Inherent risico (Inherent risk)
Restrisico (Residual risk)
Impact
Waarschijnlijkheid (Likelihood)
Risicobeoordeling (Risk assessment)
Risicomatrix (Risk matrix)
Risicobehandeling (Risk treatment)
Risicobehandelingsopties (Risk treatment options)
Risicobereidheid (Risk appetite)
Risicotolerantie (Risk tolerance)
Dreigingsactor (Threat actor)
Risicoscenario (Risk scenario)

Uniform Risk Rating Policy (URR)

Beleid Uniforme Risicobeoordeling (URR)

Doel van dit document

Definities

Impact van risico’s

Impactcategorieën

Beoordelen van impact

Uniforme impactschaal

Impactschaal gezondheid

Impactschaal persoonlijke sfeer

Impactschaal dagelijks leven

Impactschaal welzijn

Financiële impactschaal

Impactschaal economics

Impactschaal veiligheid en openbare orde

Impactschaal Internationale Instellingen

Impactschaal reputatie

Impactschaal regulatory impact

Waarschijnlijkheid van risico’s

Beoordelen van waarschijnlijkheid

Waarschijnlijkheidschaal

Waarschijnlijkheid en dreigingsactoren

Uniforme risicobeoordeling

Uniforme schaal voor risicobeoordeling

Hittemap

Risicobehandeling (Risk treatment)

Risicobehandelingsopties

Governance

Eerste lijn

Tweede lijn (risicofunctie)

Derde lijn

Behandeling van kritische risico’s

Beleid

Toegelaten risicobehandelingsopties

Niet toegelaten

Governance bij kritische risico’s

Behandeling van significante risico’s

Beleid

Toegelaten risicobehandelingsopties

Niet toegelaten

Governance bij significante risico’s

Behandeling van matige risico’s

Beleid

Toegelaten risicobehandelingsopties

Niet toegelaten

Governance bij matige risico’s

Behandeling van beperkte risico’s

Beleid

Toegelaten risicobehandelingsopties

Niet toegelaten

Governance bij beperkte risico’s

Voorwaarden bij aanvaarding

Herziening en actualisatie

Termen en definities

Author: admin

Related Posts