Er zijn verschillende modellen om risico’s te analyseren, beoordelen en beheersen. In dit artikel vergelijken we drie veelgebruikte benaderingen — RAVC, FIRM en ISO 31000 — en laten we zien hoe je ze toepast binnen een SIRA, kwaliteitsmanagementsysteem of breder risicobeleid.
Waarom een risicomodel gebruiken?
Of je nu werkt aan een SIRA, een SKM-risicoanalyse of een compliance plan: het helpt om een gestandaardiseerde aanpak te hanteren voor risico-identificatie, beoordeling en besluitvorming.
Een goed model:
- maakt risico’s vergelijkbaar,
- dwingt je na te denken over oorzaken, impact en beheersing,
- en helpt bij het toewijzen van maatregelen en monitoring.
Er zijn verschillende modellen in omloop. Hieronder bespreken we drie beproefde methoden die passen bij Wwft- en SKM-contexten.
- RAVC: Risico = A × V × C
Het RAVC-model komt voort uit veiligheidsonderzoek en wordt in toenemende mate gebruikt binnen integriteits- en Wwft-context.
| Component | Betekenis |
| A | Aantrekkelijkheid van het object of kanaal voor misbruik |
| V | Kwetsbaarheid van de organisatie voor het risico |
| C | Consequentie als het risico zich voordoet |
Risico = A × V × C
Voorbeeld:
Een klantgroep met beperkte transparantie (A = hoog), gecombineerd met weinig intern toezicht (V = hoog) en mogelijke reputatieschade bij incidenten (C = hoog) = hoog risico.
Voordeel:
- Dwingt je na te denken over het risicoprofiel van jezelf én je doelgroep.
- Uitstekend toepasbaar binnen de SIRA en integriteitsbeleid.
- FIRM: Frequentie – Impact – Risicobeheersing – Monitoring
Het FIRM-model is populair in governance-, audit- en compliance omgevingen. Het model beoordeelt risico’s niet alleen op frequentie en impact, maar ook op de effectiviteit van beheersmaatregelen.
| Stap | Toelichting |
| Frequentie | Hoe vaak komt dit risico voor? |
| Impact | Wat is het gevolg als het zich voordoet? |
| Risicobeheersing | Welke maatregelen zijn er? Hoe effectief zijn ze? |
| Monitoring | Wordt er actief op het risico en de maatregel gestuurd? |
Toepassing:
- Vul een matrix in voor de belangrijkste risico’s (bijv. klantacceptatie, cashtransacties, integriteitsdilemma’s).
- Bepaal of je het risico accepteert, moet bijsturen of intensiveren.
Voordeel:
- Sluit goed aan op de monitoringstructuur van ISQM 1 / SKM 1
- Leent zich voor PDCA-toepassing (Check & Act-fase)
- ISO 31000: integraal risicomanagementsysteem
ISO 31000 is een internationale norm voor risicomanagement. Het biedt een raamwerk en principes voor het organisatiebreed integreren van risicomanagement.
Kernpunten:
- Risicomanagement moet geïntegreerd zijn in bestuur, strategie en processen
- Focus op context: wat is het doel van de organisatie, en wat bedreigt dat?
- Cyclisch proces: risico-identificatie, analyse, evaluatie, beheersing, monitoring
Voordeel:
- Zeer geschikt voor grotere organisaties of instellingen die risicomanagement breder willen integreren dan alleen binnen de Wwft of het SKM
- Laat ruimte voor eigen invulling en schaalgrootte
Nadeel:
- Minder concreet dan RAVC of FIRM
- Vereist vaak aanvullende modellen of formats
Hoe kies je een model?
| Situatie | Aanbevolen model | Waarom? |
| SIRA bij mkb-kantoor | RAVC of FIRM | Concreet, goed toe te passen op integriteitsvraagstukken |
| SKM-risicoanalyse | FIRM | Koppelt risico aan monitoring en PDCA |
| Grotere organisatie / strategie | ISO 31000 + RAVC/FIRM | ISO als raamwerk, met aanvullende scoringsmodellen |
| Incidentanalyse of dossierrisico’s | FIRM | Praktisch voor evaluatie en herinrichting |
Veelgestelde vragen
Mag ik modellen combineren?
Ja, en dat is vaak effectief. Je kunt bijvoorbeeld risico’s beoordelen met RAVC, maatregelen toetsen met FIRM en je risicostructuur spiegelen aan ISO 31000.
Is één model verplicht voor Wwft of ISQM?
Nee. Er zijn géén voorgeschreven modellen. Wel verwachten toezichthouders dat je systematisch, onderbouwd en consistent werkt. Een gekozen model helpt daarbij.
Moet ik deze modellen expliciet vermelden in mijn SIRA of SKM?
Niet per se, maar het is wél verstandig om je methodiek kort te beschrijven — zeker bij toetsing of externe review.
Verder lezen
- Component 8. Risicobeheersing onder ISQM 1 (SKM 1 NL)
- Wat is een SIRA? Zo leg je een stevig fundament onder je risicobeheersing
- Kwaliteitsmanagement onder ISQM 1 (SKM 1 NL) volgens de PDCA-cyclus van Deming
Assurvia helpt je risicomodellen toepassen in de praktijk
Wij helpen organisaties bij het kiezen en toepassen van een risicomodel dat past bij hun praktijk — van SIRA tot SKM, van Wwft tot strategisch risicomanagement. Praktisch, onderbouwd en gekoppeld aan je stelsel van maatregelen.
Meer weten? Mail ons via info@assurvia.com of bekijk onze kennisbank.
