Kwalitatieve versus kwantitatieve risicoanalyse: welke methode past bij jouw organisatie?

Risk8 min leestijd
K

Kees van der Vlies

Partner | IT-auditor

Also available in:English

Wie een risicoanalyse voor informatiebeveiliging opzet, komt al snel de vraag tegen hoe risico's moeten worden gewaardeerd. Grofweg zijn er twee scholen. De kwalitatieve aanpak beoordeelt risico's met relatieve inschattingen, meestal op een schaal van laag tot hoog. De kwantitatieve aanpak drukt risico's uit in cijfers, bij voorkeur in geld en verwachte frequentie. In de praktijk is dit geen kwestie van goed of fout, maar van passendheid: het hangt af van de volwassenheid van de organisatie, de beschikbare data en het doel van de analyse. In dit artikel zetten we beide methoden naast elkaar, benoemen we de valkuilen die wij als auditor het vaakst tegenkomen, en geven we een praktisch advies over het maken van de keuze.

De kwalitatieve risicoanalyse

De kwalitatieve methode is verreweg het meest toegepast, en niet zonder reden. Risico's worden ingeschat op basis van kans en impact, meestal met categorieën als laag, middel en hoog, of met een cijfermatige schaal van bijvoorbeeld 1 tot 5. De uitkomst wordt vaak weergegeven in een risicomatrix: een raster waarin kans en impact samen de kleur van een cel bepalen. Groen is aanvaardbaar, rood vraagt om directe actie.

De kracht van deze aanpak is de toegankelijkheid. Je hebt geen uitgebreide historische data nodig en de methode is snel uit te leggen aan een directie of afdelingshoofd. Ze nodigt uit tot gesprek: door met betrokkenen samen de kans en impact in te schatten, ontstaat een gedeeld beeld van waar de organisatie kwetsbaar is. Voor een eerste risicoanalyse, voor een ISO 27001-implementatie of voor organisaties die net beginnen met gestructureerd risicomanagement is de kwalitatieve methode vrijwel altijd het juiste startpunt.

De zwakte zit in de subjectiviteit. Wat de een als hoge impact ervaart, noemt de ander gemiddeld. Zonder heldere definities per schaalniveau lopen inschattingen sterk uiteen en worden risico's lastig onderling vergelijkbaar. Een ander bekend fenomeen is de opeenhoping in het midden: als betrokkenen twijfelen, kiezen ze de veilige middenwaarde, waardoor de analyse aan onderscheidend vermogen verliest. En omdat de uitkomst geen geldbedrag kent, is het lastig om een investering in een beheersmaatregel af te wegen tegen het risico dat ermee wordt afgedekt.

De kwantitatieve risicoanalyse

De kwantitatieve methode probeert risico's in harde cijfers uit te drukken. De klassieke variant werkt met begrippen als de Single Loss Expectancy (het verlies bij een enkele gebeurtenis), de Annual Rate of Occurrence (de verwachte frequentie per jaar) en de Annual Loss Expectancy (het verwachte jaarlijkse verlies, het product van de eerste twee). Modernere benaderingen zoals FAIR (Factor Analysis of Information Risk) werken met kansverdelingen en simulaties in plaats van enkele puntschattingen, wat recht doet aan de onzekerheid die inherent is aan risico.

Het voordeel is de zeggingskracht richting het bestuur. Een uitspraak als "dit risico kost ons naar verwachting 250.000 euro per jaar en de beheersmaatregel kost 60.000 euro" maakt een investeringsbeslissing bespreekbaar in de taal van de directie. Kwantitatieve uitkomsten zijn optelbaar, waardoor je risico's over de hele organisatie kunt aggregeren en prioriteren. Ook maakt het onderbouwde kosten-batenafwegingen mogelijk, iets wat toezichthouders in gereguleerde sectoren steeds vaker verwachten.

De keerzijde is dat de methode staat of valt met de kwaliteit van de invoer. Zonder betrouwbare data over frequenties en verliezen dreigt schijnnauwkeurigheid: een uitkomst tot op de euro nauwkeurig suggereert een zekerheid die er niet is. Kwantitatieve analyse vraagt bovendien om meer tijd, expertise en gegevens, en is daarmee zwaarder om op te zetten en te onderhouden. Toegepast op de verkeerde plek levert ze veel werk op voor weinig extra inzicht.

De hybride praktijk

In de praktijk werken de meeste volwassen organisaties hybride. Ze gebruiken een kwalitatieve analyse als brede eerste zeef over de hele risico-omgeving, en zetten vervolgens gerichte kwantitatieve analyse in op de handvol risico's die uit die zeef naar boven komen. Zo besteed je de zwaardere methode alleen aan de risico's waar een scherpe onderbouwing echt loont, bijvoorbeeld bij een grote investeringsbeslissing of een risico dat het bestaansrecht van de organisatie raakt. Deze gelaagde aanpak combineert de snelheid en het draagvlak van de kwalitatieve methode met de onderbouwing van de kwantitatieve methode.

Wat zegt ISO 27001 hierover?

Een veelgestelde vraag is welke methode ISO 27001 voorschrijft. Het antwoord is: geen. De norm vereist een consistent en herhaalbaar proces voor risicobeoordeling en risicobehandeling, met heldere criteria voor het accepteren van risico en voor het bepalen van het risiconiveau. Welke methode je kiest, is aan de organisatie, zolang de aanpak consistent wordt toegepast en herhaalbaar is. In de praktijk kiezen de meeste organisaties voor een kwalitatieve of hybride aanpak. Wat een auditor toetst, is niet de methode zelf, maar of ze consistent is toegepast, of de criteria vooraf zijn vastgesteld en of de uitkomsten aantoonbaar tot beslissingen over beheersmaatregelen hebben geleid.

Praktisch advies bij de keuze

Begin kwalitatief als u start met risicomanagement, als data schaars is of als het doel vooral bewustwording en prioritering is. Investeer in heldere schaaldefinities, want daarmee ondervangt u het grootste deel van de subjectiviteit. Overweeg kwantitatieve analyse zodra u specifieke, grote risico's moet onderbouwen richting bestuur of toezichthouder, of wanneer u beheersmaatregelen tegen elkaar moet afwegen op basis van kosten en baten. En bedenk dat de twee methoden geen tegenpolen zijn maar aanvullend. De volwassen route is niet kiezen tussen kwalitatief en kwantitatief, maar weten wanneer u welke inzet. Wilt u sparren over een risicoanalyse die past bij de volwassenheid van uw organisatie? Neem gerust contact met ons op.

Veelgestelde vragen

Wat is het verschil tussen kwalitatieve en kwantitatieve risicoanalyse?+

Een kwalitatieve analyse waardeert risico's met relatieve inschattingen op een schaal, bijvoorbeeld laag tot hoog. Een kwantitatieve analyse drukt risico's uit in cijfers, meestal in geld en verwachte frequentie per jaar. De eerste is toegankelijk en snel, de tweede is onderbouwd maar vraagt om betrouwbare data.

Welke methode schrijft ISO 27001 voor?+

ISO 27001 schrijft geen specifieke methode voor. De norm eist een consistent, herhaalbaar risicobeoordelingsproces met vooraf vastgestelde criteria. De organisatie kiest zelf voor een kwalitatieve, kwantitatieve of hybride aanpak.

Is een kwantitatieve risicoanalyse nauwkeuriger?+

Niet automatisch. Kwantitatieve analyse geeft cijfermatige uitkomsten, maar die zijn alleen betrouwbaar als de onderliggende data over frequenties en verliezen dat ook is. Zonder goede data ontstaat schijnnauwkeurigheid.

Kan ik beide methoden combineren?+

Ja, dat is in de praktijk de meest volwassen aanpak. Een kwalitatieve analyse dient als brede eerste zeef, waarna gerichte kwantitatieve analyse wordt ingezet op de belangrijkste risico's die daaruit naar voren komen.

Wat is FAIR?+

FAIR (Factor Analysis of Information Risk) is een kwantitatief raamwerk dat risico's modelleert met kansverdelingen en simulaties in plaats van enkele puntschattingen. Het doet daarmee recht aan de onzekerheid die bij risico hoort en levert onderbouwde bandbreedtes op.

Over de auteur

K
Kees van der Vlies

Partner | IT-auditor

Terug naar kennisbank

Heb je een vraag?

Neem contact met ons op voor advies over IT-audit, compliance en informatiebeveiliging.

Contact opnemen