Overzicht › Domein 1 · Foundations › Les 10 · AI Risk Taxonomy

KRI-design, portfolio-aggregatie & cross-domain reporting

Domein 1 · Risk Taxonomy lec 12 Opkomend risico zichtbaar maken én scores rollen tot iets waar de risk committee op kan handelen.

Drie kerngedachten
① KRI's werken als ze leading indicators met gekalibreerde drempels zijn. ② Aggregatie-regels bepalen of het portfolio-beeld accuraat is of vertekend — documenteer de methode. ③ Vooraf bepaalde escalatie-triggers halen het oordeel uit het moment dat een drempel breekt.

KRI-design

Vijf principes

Category-specific

Elk van de 7 categorieën heeft een eigen indicator-set. Een composite die signalen vermengt, maskeert categorie-trends.

Leading boven lagging

Meet condities die schade voorafgaan. Model-accuracy = lagging; accuracy-drift velocity = leading.

Threshold-kalibratie

Drempels tegen historische baselines of expert-ranges — geen willekeurige ronde getallen.

Ownership toegewezen

Elke indicator een benoemde eigenaar voor monitoring, interpretatie en escalatie.

Review-cyclus

De cadans voor het herzien van indicator-prestatie en het bijstellen van drempels is ingepland, niet ad hoc.

Concreet

Een leading KRI per categorie

Categorie	Voorbeeld-KRI	Cadans / drempel
Performance	Accuracy-drift vs. training-baseline	Wekelijks · amber −2%, rood −5%
Security	% AI-API-calls geflagd als anomaal (laatste 24u)	Real-time alerting
Privacy	Aantal onbehandelde DSAR's met AI-output	Gebucket op leeftijd van het verzoek
Bias	Demographic parity disparity ratio (protected attributes)	Bij elke model-release
Compliance	Aantal open regulatory inquiries over AI	Getrackt op severity
Third-party	% kritieke AI-vendors met overdue due-diligence-refresh	Periodiek

Elke KRI is een leading signaal voor het kenmerkende schade-pad van die categorie.

Aggregatie-logica

Verschillende assen, verschillende aanpak

Aggregeer over…	Aanpak	Valkuil
Categorieën	Som categorie-scores apart vóór roll-up; highest-score-rule voor conservatieve samenvatting	Niet middelen — dat onderdrukt hoge individuele categorieën en doet het portfolio gezonder lijken
Business units	Weeg op materiality; maak concentration risk expliciet zichtbaar	Eén BU met 60% van de high-risks mag niet in het gemiddelde verdwijnen

Heat map
Het standaard executive-visual: likelihood (y) × impact (x), elk risico een dot; kleur/grootte = categorie of BU. Pijl-overlays tonen de trend. Een heat map die in 6 maanden niet bewoog is een waarschuwing — óf het portfolio is echt stabiel, óf het register wordt niet herzien. Weet welke van de twee.

Reporting

Cadans gekalibreerd op de beslisrol

Stakeholder	Cadans	Inhoud
Board / audit committee	Jaarlijks / halfjaarlijks	Strategisch: materiële risico's, appetite-status, maturity-rating — 2 pagina's met trends
Executive leadership	Kwartaal	Portfolio-status, KRI-trendlijnen, treatment-completion-rate, residual-vs-appetite per categorie
Operational risk teams	Maandelijks / continu	Systeem-niveau: KRI-monitoring, incident-escalatie, open treatment-acties

Uitzondering
Elke KRI die de red zone bereikt omzeilt de geplande cadans volledig en triggert onmiddellijke rapportage naar het juiste autoriteitsniveau. De cadans is voor normale operatie; triggers zijn voor al de rest.

Integratie + timelines

Mappen op enterprise risk & escalatie-triggers

AI-risico mag niet geïsoleerd draaien. Map het op de bestaande enterprise-taxonomie zodat de board één coherent beeld heeft:

→ OPERATIONEEL

Performance

mapt op operational risk

→ REGULATOIR

Compliance

mapt op regulatory risk

→ VENDOR

Third-party

mapt op vendor risk

Gebruik consistente scoring-schalen enterprise-breed + lijn AI-appetite uit met het enterprise-framework (anders accepteert AI iets dat enterprise al onaanvaardbaar verklaarde).

Escalatie-triggers met vaste timelines

Breach	Wie + wanneer	Actie
🟡 Amber	Risk owner ≤ 24u	Root-cause-onderzoek gestart ≤ 5 werkdagen
🟠 Red	Risk committee ≤ 4u · exec sponsor ≤ 24u	Treatment-herbeoordeling ≤ 10 werkdagen
⚫ Appetite	Board / audit committee ≤ 24u	Treatment-beslissing vereist ≤ 30 dagen

Log bij elke breach: wanneer gedetecteerd, wie genotificeerd, welke actie, en wanneer terug in de green zone. Vaste triggers + timelines voorkomen dat escalatie politiek of vertraagd wordt.

Begrippen

Glossarium

Leading vs lagging indicator: Meet condities vóór schade (leading) vs. uitkomsten die schade bevestigen (lagging).
Threshold-kalibratie: Drempels tegen historische baselines/expert-ranges, niet ronde getallen.
Highest-score-rule: Portfolio-score = hoogste individuele categorie-score (conservatief).
Concentration risk: Onevenredig veel exposure bij één BU/component — expliciet maken.
Heat map: Likelihood × impact-grid met elk risico als dot; trend via pijl-overlays.
Enterprise risk mapping: AI-categorieën koppelen aan de bestaande enterprise-taxonomie.
Escalatie-trigger: Vooraf bepaalde breach + wie/wanneer + actie met vaste timeline.

Checkpoint

Quiz

Klik op je antwoord voor directe feedback.

VRAAG 1

Waarom mag je bij aggregatie over categorieën beter niet middelen?

Middelen is wiskundig onmogelijk

Middelen onderdrukt hoge individuele categorieën en doet het portfolio gezonder lijken dan het is

Middelen is altijd te conservatief

Het is verboden door de EU AI Act

Juist. Som categorie-scores apart en gebruik de highest-score-rule voor een conservatief beeld. Middelen verbergt net de hoge-severity-uitschieters die je moet zien.

VRAAG 2

Wat is het verschil tussen "model accuracy rate" en "accuracy drift velocity" als KRI?

Geen — het zijn synoniemen

Accuracy rate is lagging (bevestigt schade); drift velocity is leading (gaat schade vooraf)

Accuracy rate is leading; drift velocity is lagging

Beide zijn KPI's, geen KRI's

Juist. Goede KRI's zijn leading: ze meten condities die schade voorafgaan. Drift-snelheid waarschuwt vóórdat de accuracy zelf onder de grens zakt.

← Terug naar overzicht