Overzicht › Domein 1 · Foundations › Les 7 · AI Risk Taxonomy

Likelihood, Impact & de Inherent → Residual-reeks

Domein 1 · Risk Taxonomy lec 9 Hier produceert je programma signaal of ruis. Goede mechanics = houdbare prioritering.

Kerngedachte
Likelihood = waarschijnlijkheid. Impact = ernst. Twee aparte dimensies, apart scoren. En: score inherent vóór residual, anders heeft control-effectiviteit geen baseline om tegen te meten.

Vocabulaire

Wat je meet

Kans

Likelihood

Hoe waarschijnlijk is het event? Stuurt monitoring-cadans & detectie-controls.

Ernst

Impact

Hoe erg is de schade? Over 4 dimensies. Stuurt consequence-controls & escalatiedrempels.

Ruw

Inherent risk

Likelihood × impact in de ongecontroleerde staat — de baseline waartegen alles wordt gemeten.

Na controls

Residual risk

De score ná controls — enkel lager als effectiviteit is aangetoond, niet aangenomen.

Tail risk
Lage likelihood + zeer hoge impact = een aparte uitdaging. Triggert misschien nooit een KRI-alert, maar als het optreedt is de schade materieel → vereist een expliciete treatment-beslissing, ook al zie je het zelden.

De kernreeks

Inherent → Residual in 5 stappen

Elke stap is dragend. Sla stap 1 over → stap 4 hangt in de lucht (geen baseline = geen gap berekenbaar).

STAP 1

Inherent scoren

Likelihood & impact in ongecontroleerde staat → de baseline.

→

STAP 2

Controls identificeren

Welke verlagen likelihood, impact of beide?

→

STAP 3

Effectiviteit toetsen

Goed ontworpen? Werken ze zoals bedoeld?

→

STAP 4

Residual afleiden

Pas effectiviteit toe → residual (alleen lager bij bewijs).

→

STAP 5

Vs. appetite

Vergelijk met appetite/tolerance → verdere treatment nodig?

Keuze van scoringsschaal

Schaaltype volgt data-beschikbaarheid

Schaal	Hoe	Let op
Kwalitatief	Low / Medium / High labels	Snel & consistent mits elk label een geschreven anker-definitie heeft
Semi-kwantitatief	Numerieke scores vermenigvuldigd tot composite	Schijnprecisie als de cijfers geen empirische ankers hebben
Volledig kwantitatief	Probability-estimates + financiële verliesmodellen	Vereist historische incident-data om betrouwbaar te kalibreren

Default voor AI
Voor de meeste AI-programma's met nieuwe systemen en weinig incident-historie is kwalitatief scoren met heldere geschreven ankers de juiste keuze. Upgrade pas naar kwantitatief als er genoeg data is.

Kalibratie-sessies

Risk owners + 2nd-line reviewers scoren onafhankelijk dezelfde voorbeeldrisico's, vergelijken, en bespreken waar scores significant uiteenlopen (echte onenigheid vs. inconsistente schaal-interpretatie). Uitkomst = herziene anker-definities. Draai ze jaarlijks + bij elke nieuwe risicocategorie — het is de kwaliteitscontrole van je scoringssysteem.

Impact volledig meten

Vier impact-dimensies

€

Financieel

Boetes, litigatie, remediatie, omzetverlies bij uitval.

⚙️

Operationeel

Procesverstoring, manuele workarounds, downstream-fouten door AI-output.

📰

Reputationeel

Merkschade, churn, partnerrelaties, duur van media-aandacht.

⚖️

Regulatoir

Kans op handhaving, sanctie-ernst, doorlopende rapportagelast van een finding.

Veelgemaakte fout
Enkel financiële impact meten onderschat AI-risico systematisch — de reputationele en regulatoire dimensies domineren vaak vóór er überhaupt financieel verlies erkend is. De hóógste dimensie ankert de overall rating, niet het gemiddelde.

Audit-bevindingen

Vier terugkerende scoringsfouten

Fout	Waarom het misgaat
Eerst residual ankeren	Residual zonder inherent = score zonder geverifieerde baseline; effectiviteit niet meetbaar.
Likelihood & impact verwarren	"Hoog" zonder te zeggen wélke dimensie → mis-gekalibreerde treatment.
Ongelabelde kwalitatieve scores	Labels zonder geschreven ankers driften in betekenis over assessoren en tijd.
Eendimensionale impact	Enkel financieel → mist regulatoir/operationeel/reputationeel die vaak dominant zijn.

Portfolio-aggregatie kort

Simpel optellen inflateert (gecorreleerde risico's dubbel geteld). De highest-score-rule (portfolio = hoogste entry) is een conservatief, transparant startpunt. Bij een breach: meteen de-aggregeren en de methodiek documenteren.

Begrippen

Glossarium

Likelihood: Waarschijnlijkheid van een nadelig event.
Impact: Ernst van de schade, over 4 dimensies.
Inherent risk: Ruwe score vóór controls (ongecontroleerde staat).
Residual risk: Score ná controls; alleen lager bij aangetoonde effectiviteit.
Tail risk: Lage kans, zeer hoge impact — vereist expliciete treatment.
Anker-definitie: Geschreven omschrijving achter een label, tegen drift.
Kalibratie-sessie: Onafhankelijk scoren + vergelijken om assessor-drift te voorkomen.
Highest-score-rule: Portfolio-score = hoogste individuele entry (conservatief).

Checkpoint

Quiz

Klik op je antwoord voor directe feedback.

VRAAG 1

Waarom moet je inherent scoren vóór residual?

Omdat het sneller is

Zonder inherent baseline kun je control-effectiviteit niet meten — de residual hangt dan in de lucht

Omdat de regelgever dat letterlijk voorschrijft

Inherent en residual zijn hetzelfde

Juist. Inherent is de baseline. Residual is alleen lager dán inherent wanneer control-effectiviteit is aangetoond. Anchoring-to-residual-first is een klassieke audit-bevinding.

VRAAG 2

Een team scoort AI-risico enkel op financiële impact. Wat is het probleem?

Niets — financieel is altijd dominant

Het onderschat AI-risico systematisch: reputationele en regulatoire impact domineren vaak vóór financieel verlies

Financiële impact is niet meetbaar

Je moet altijd het gemiddelde van de 4 dimensies nemen

Juist. Impact heeft 4 dimensies (financieel, operationeel, reputationeel, regulatoir). De hóógste ankert de overall rating — niet het gemiddelde, en zeker niet enkel financieel.

← Terug naar overzicht