Als het risico níét tot appetite te brengen is én de activiteit niet strategisch essentieel is. De enige schone optie als residual ná alle andere treatments nog boven appetite ligt.
Als controls bestaan, kosteneffectief zijn én haalbaar te implementeren binnen een redelijke termijn.
Als het risico catastrofaal-maar-onwaarschijnlijk is en interne control-kosten het verwachte verlies overstijgen — of als je de capaciteit mist om de control zelf te draaien.
Als residual bínnen appetite valt en de kost van verdere treatment het verwachte marginale voordeel overstijgt.
Elk criterium documenteren — treatment-selecties zonder rationale zijn niet-auditeerbaar.
| Mitigation | Acceptance | |
|---|---|---|
| Kern | Actie om risico te wijzigen | Expliciete keuze om niet te handelen |
| Voorbeeld | Monitoring-alert dat responstijd verkort; lichte input-validatie-filter | Formele tolerantie van de huidige residual |
| Residual | Verandert (bij effectiviteit) | Verandert niet |
| Bewijs | Control-design-docs + effectiviteits-testing | Acceptance-memo + sign-off + expliciete vergelijking met appetite |
Implementatie + operationele overhead + monitoring-last, als totale jaarlijkse kost.
−Inherent expected loss − residual expected loss (bij effectieve control).
=Expected loss reduction − control cost.
| Situatie | Rationele keuze |
|---|---|
| Net benefit negatief én residual binnen appetite | Accept (gedocumenteerd) |
| Residual ná mitigation blijft boven appetite (ongeacht kost) | Avoid of Transfer overwegen |
| Acceptance van een boven-appetite residual | Vereist board-level exception, geen risk-owner-sign-off |
| Mechanisme | Wat het doet | Aandachtspunt |
|---|---|---|
| Insurance (cyber/AI-specifiek) | Dekt gedefinieerde verlies-scenario's | Check expliciet dat AI-claims gedekt zijn — veel cyber-policies dateren van vóór GenAI en hebben exclusions |
| Indemnification (vendor-contract) | Verschuift aansprakelijkheid voor specifieke failures | Clausule moet het specifieke risicotype + coverage-limiet noemen |
| Contractuele limieten | Cap op aansprakelijkheid naar eindgebruikers/downstream | Verschuift residual exposure downstream |
⚠️ Bij transfer blijft het risico op inherent niveau bestaan — je verplaatst alleen de financiële/operationele consequentie.
Geen programma-falen. Documenteer: welke alternatieven overwogen (mitigation/transfer/accept) + waaróm verworpen (met kost-schatting per verworpen optie), de beslissingsautoriteit, en het vermeden systeem + datum. Zonder dit is avoidance niet te onderscheiden van "het systeem werd gewoon nooit gebouwd" — geen governance-record.
Meest voorkomend. Controls verlagen likelihood/impact, dan de catastrofale residual-staart via insurance/indemnification overdragen.
Controls brengen residual binnen appetite; de rest formeel geaccepteerd met juiste sign-off.
Grootste exposure via contract verschoven; het deel dat het instrument niet dekt formeel geaccepteerd.
Documenteer elke component apart met eigen bewijs. Een sterke eerste component excuseert geen zwakke/ongedocumenteerde tweede.
| Velocity | Voorbeelden | Review-cadans |
|---|---|---|
| Hoog | Security, performance | Minstens kwartaal — threat landscape verandert snel |
| Medium | Privacy, compliance | Halfjaarlijks, gekoppeld aan de regulatoire kalender |
| Laag | Bias, third-party | Jaarlijks |
Klik op je antwoord voor directe feedback.