Kennis · Risk & control

Risk & control matrix (RCM)

Een risk & control matrix koppelt de risico's in je processen aan de beheersmaatregelen die ze afdekken. Het is de kern van risicobeheersing in processen: het laat zien wat er mis kan gaan, hoe je dat beheerst, wie daarvoor verantwoordelijk is en waar je nog gaten hebt.

Wat is een risk & control matrix?

De risk & control matrix (RCM), ook wel risk-control matrix of controlematrix genoemd, is een gestructureerd overzicht dat elk risico verbindt met de beheersmaatregelen die het afdekken. Waar een risicoregister alleen oplijst wat er mis kan gaan, voegt de RCM de andere helft toe: hoe je het beheerst. Per regel zie je het risico, de bijbehorende control, de eigenaar, de frequentie en de effectiviteit.

Die combinatie maakt de RCM tot het werkpaard van interne beheersing en audit. Het is de basis om aan te tonen dat een organisatie in control is: niet met woorden, maar met een navolgbare koppeling tussen risico en maatregel.

Waaruit bestaat een RCM?

De precieze kolommen verschillen per organisatie, maar een bruikbare risk & control matrix bevat vrijwel altijd de volgende elementen:

ElementWat je vastlegt
ProcesstapDe activiteit waarop het risico van toepassing is — het ankerpunt van de RCM.
RisicoWat er mis kan gaan, en waarom dat de doelen raakt.
Oorzaak & gevolgDe bron van het risico en de impact als het optreedt.
Kans × impactDe inschatting van waarschijnlijkheid en ernst, vaak als bruto- en nettorisico.
Beheersmaatregel (control)De maatregel die het risico verkleint of detecteert.
Type controlPreventief of detectief, en handmatig of geautomatiseerd.
FrequentieHoe vaak de control wordt uitgevoerd — continu, dagelijks, per gebeurtenis.
EigenaarWie verantwoordelijk is voor de werking van de control.

Veel organisaties werken met een bruto- en nettorisico: het brutorisico is de inschatting vóór beheersing, het nettorisico het restrisico daarna. Het verschil laat zien hoeveel de controls daadwerkelijk toevoegen.

Preventieve vs. detectieve controls

Beheersmaatregelen vallen grofweg in twee typen. Een goede RCM balanceert beide, en maakt bovendien onderscheid tussen handmatige en geautomatiseerde controls — die laatste zijn doorgaans betrouwbaarder en beter toetsbaar.

Preventief

Voorkomt dat een risico optreedt. Bijvoorbeeld functiescheiding, een verplichte tweede goedkeuring vóór een betaling, of systeemvalidaties die foutieve invoer blokkeren.

Detectief

Signaleert achteraf dat er iets is misgegaan. Bijvoorbeeld periodieke reconciliaties, uitzonderingsrapportages of een review van logbestanden. Onmisbaar als sluitstuk op preventie.

Risicobeheersing in processen

Risico's ontstaan niet in een register — ze ontstaan in het werk. Een factuur die zonder controle wordt betaald, een wijziging die zonder review live gaat, data die door de verkeerde handen gaat: allemaal risico's die op een specifieke processtap zitten. Toch beheren veel organisaties hun RCM als losstaand document, los van de processen die het beschrijft.

Dat gaat mis zodra het proces verandert. De control die je maanden geleden beschreef, past niet meer bij de nieuwe werkwijze — maar dat merk je pas bij de volgende audit. De oplossing is om risico's en controls te koppelen aan de processtap, zodat beheersing en proces samen bewegen. Je ziet dan in één oogopslag welke stappen onvoldoende zijn afgedekt, en welke rollen (via de RASCI-matrix) bij die control betrokken zijn.

Zo bouw je een risk & control matrix

  1. 1

    Kies de scope

    Bepaal welk proces of welke processen je in de RCM opneemt en tot welk detailniveau.

  2. 2

    Inventariseer risico's per stap

    Loop de processtappen langs en benoem per stap wat er mis kan gaan, met oorzaak en gevolg.

  3. 3

    Waardeer het risico

    Schat kans en impact in (brutorisico) om te prioriteren waar beheersing nodig is.

  4. 4

    Koppel beheersmaatregelen

    Wijs per risico één of meer controls toe en leg vast of ze preventief of detectief zijn.

  5. 5

    Bepaal eigenaar en frequentie

    Leg vast wie de control uitvoert en hoe vaak, zodat werking toetsbaar is.

  6. 6

    Beoordeel het nettorisico

    Bepaal het restrisico na beheersing en herhaal de cyclus periodiek.

Een levende, gekoppelde RCM

Het verschil tussen een RCM die werkt en één die veroudert, zit in de koppeling. In Proceshuis is de risk & control matrix een levend, gekoppeld object in plaats van een apart register: risico's en controls hangen direct aan de processtap, samen met de rollen, systemen en data van diezelfde stap. Verandert het proces, dan verandert de beheersing mee.

Zo ondersteun je de werkwijzen achter kaders als Three Lines of Defense, ISO 27001 en AVG/GDPR — door de bijbehorende risico's, controls en eigenaarschap te modelleren op het proces. Wees hierbij eerlijk over wat wél en niet is ingebouwd: op dit moment is de APQC-benchmark daadwerkelijk ingebouwd en gerapporteerd, met een dekkingspercentage. De genoemde normenkaders zijn ondersteunde manieren van werken; die kant-en-klare normenkader-laag breiden we stapsgewijs uit.

Risico ↔ control ↔ proces, in één model

Geen apart register dat veroudert, maar beheersing die aan de processtap hangt — mét RASCI en APQC-dekking. Zo toon je aan dat je in control bent.

Veelgestelde vragen over de risk & control matrix

Wat is een risk & control matrix (RCM)?+

Een risk & control matrix is een overzicht dat per risico vastlegt welke beheersmaatregel (control) dat risico afdekt, wie de eigenaar is, hoe vaak de control wordt uitgevoerd en hoe effectief hij is. De RCM verbindt risico's met controls, idealiter gekoppeld aan de processtap waarop ze van toepassing zijn.

Wat is het verschil tussen een risicoregister en een risk & control matrix?+

Een risicoregister somt risico's op. Een risk & control matrix gaat een stap verder en koppelt aan elk risico de beheersmaatregelen, met eigenaar, frequentie en effectiviteit. De RCM laat dus niet alleen zien wat er mis kan gaan, maar ook hoe je dat beheerst.

Wat is het verschil tussen een preventieve en een detectieve control?+

Een preventieve control voorkomt dat een risico optreedt — bijvoorbeeld een verplichte tweede goedkeuring vóór een betaling. Een detectieve control signaleert achteraf dat er iets mis is gegaan — bijvoorbeeld een periodieke reconciliatie of uitzonderingsrapportage. Een gezonde beheersing combineert beide.

Waarom risico's en controls aan het proces koppelen?+

Omdat risico's ontstaan in het werk zelf. Een los risicoregister veroudert zodra het proces verandert. Koppel je risico's en controls aan de processtap, dan blijft de beheersing meebewegen met het proces en zie je direct welke stappen onvoldoende zijn afgedekt.

Ondersteunt Proceshuis Three Lines of Defense en ISO 27001?+

Proceshuis ondersteunt die manieren van werken doordat je de bijbehorende risico's, controls, rollen en eigenaarschap modelleert en aan het proces koppelt. Dat is iets anders dan een kant-en-klaar normenkader: op dit moment is APQC ingebouwd en gerapporteerd; de normenkader-laag bouwen we stapsgewijs uit.

Lees verder

Zet je proceshuis vandaag nog op.

Bekijk de gevulde demo-omgeving of plan een demo op maat — en zie hoe RASCI, risk & control en APQC-benchmark aan één processtap hangen.

Risk & control matrix (RCM): risicobeheersing in processen — Proceshuis