Kantyra Kantyra

← Alle artikelen

Beoordelen

Werkt de risicomatrix eigenlijk wel?

Alain Rees · 09-07-2026 · 9 min leestijd

Open een willekeurig risicoregister en je vindt hem: de matrix van kans maal impact, meestal vijf bij vijf, met groene, gele en rode vakken. De risicomatrix is het meest gebruikte instrument in het risicomanagement, van de veiligheidskunde tot de accountancy en van de zorg tot de informatiebeveiliging. Ook Kantyra heeft er een in het hart van de risicomodule. Juist daarom moet ik eerlijk zijn over iets wat weinig leveranciers hardop zeggen: de wetenschappelijke literatuur is opvallend kritisch over dit instrument. In dit artikel leg ik die kritiek naast de praktijk en laat ik zien hoe je ondanks de beperkingen verantwoord met een matrix werkt.

Dit artikel bouwt voort op de wetenschappelijke basis onder het model, waarin ik de vier fasen van Signaleren, Beoordelen, Oplossen en Aantonen onderbouw. De risicomatrix hoort bij de fase Beoordelen, en verdient dezelfde eerlijke behandeling.

Wat is er volgens de wetenschap mis met de matrix?

De fundamenteelste kritiek komt van Tony Cox, een Amerikaanse risicowetenschapper die er samen met collega's in 2005 en daarna in zijn eentje in 2008 twee artikelen aan wijdde die inmiddels klassiekers zijn. Zijn analyse in Risk Analysis, het toonaangevende tijdschrift van het vakgebied, is wiskundig van aard en laat zich in drie bevindingen samenvatten.

Ten eerste heeft een matrix een grof onderscheidend vermogen. Doordat kans en impact in een handvol categorieën worden geperst, krijgen risico's die getalsmatig sterk verschillen dezelfde kleur, en kan een matrix van twee willekeurig gekozen risico's maar in een beperkt deel van de gevallen correct zeggen welke van de twee groter is. Ten tweede maakt een matrix aantoonbare rangordefouten: er zijn situaties waarin een risico dat getalsmatig kleiner is toch in een hoger vak belandt dan een groter risico. Ten derde, en dat is de hardste conclusie, presteert een matrix bij risico's waarbij kans en impact negatief samenhangen, dus waar de zeldzame gebeurtenissen juist de zware zijn, in het slechtste geval niet beter dan willekeurig gokken. Cox gebruikt daarvoor de inmiddels beroemde formulering dat de matrix dan "worse than useless" is.

Onderzoekers uit de olie- en gassector scherpten dit later aan. Thomas, Bratvold en Bickel lieten in 2014 zien dat ook de ontwerpkeuzes van de matrix zelf, zoals het aantal categorieën, de indeling van de schalen en de scores die aan de vakken hangen, de uiteindelijke rangorde van risico's ingrijpend veranderen. Twee organisaties die exact dezelfde risico's beoordelen maar een andere matrixindeling hanteren, komen tot een andere prioriteitenlijst, zonder dat iemand een fout heeft gemaakt. De rangorde die eruit komt is daarmee deels een gevolg van het instrument in plaats van van de werkelijkheid.

Waarom komen twee beoordelaars op hetzelfde risico zo verschillend uit?

De tweede lijn van kritiek gaat niet over de wiskunde maar over de mens die de vakjes invult. David Ball en John Watt onderzochten in 2013 hoe verschillende beoordelaars hetzelfde gevaar op een matrix plaatsen. De spreiding bleek groot, en verdween ook niet na reflectie en toelichting. De verschillen bleken bovendien niet voort te komen uit slordigheid, maar uit uiteenlopende wereldbeelden en overtuigingen die zelden op tafel komen tijdens een risicosessie.

Daar komt een taalprobleem bij. Termen als "waarschijnlijk", "zelden" en "aanzienlijk" betekenen voor iedereen iets anders. David Budescu en collega's lieten proefpersonen kansuitdrukkingen uit de rapporten van het IPCC, het klimaatpanel van de Verenigde Naties, vertalen naar getallen. Zelfs mét de officiële definities ernaast liepen de interpretaties sterk uiteen. Wie "waarschijnlijk" zegt, kan bij de een dertig procent oproepen en bij de ander negentig. Elke risicomatrix die met zulke woorden werkt, erft dit probleem.

En onder dat alles ligt het oudste inzicht van dit vakgebied. Amos Tversky en Daniel Kahneman beschreven al in 1974 hoe mensen kansen inschatten met vuistregels die systematische denkfouten opleveren: we overschatten wat recent of beeldend is, we verankeren op het eerste getal dat langskomt en we zijn structureel te zeker van ons eigen oordeel. Een risicosessie waarin experts zonder verdere ondersteuning vakjes kiezen, is voor al die effecten vatbaar.

Is de matrix daarmee afgeschreven?

Nee, en dat is niet mijn oordeel maar dat van dezelfde literatuur. Nijs Jan Duijm, verbonden aan de Technische Universiteit van Denemarken, publiceerde in 2015 een afgewogen overzicht van de zwakten mét concrete aanbevelingen voor ontwerp en gebruik. Zijn kern: de matrix is bruikbaar als instrument om te prioriteren en om het gesprek over risico's te structureren, zolang je haar niet behandelt als meetinstrument en de categorieën zorgvuldig en getalsmatig verankerd definieert.

Recenter experimenteel onderzoek van het Winton Centre in Cambridge wijst dezelfde kant op. Holly Sutherland en collega's toetsten in gerandomiseerde experimenten met bijna zevenentwintighonderd deelnemers hoe mensen matrices begrijpen. Een matrix bleek niet vanzelfsprekend beter dan gewone tekst om risico-informatie over te brengen, en de vormgeving deed er sterk toe: bij schalen die niet lineair oplopen hielp een etikettering die dat expliciet maakt aanzienlijk. Een vervolgstudie van Rossa Proto en collega's uit 2023 onderzocht de kleuren zelf en vond dat gekleurde banden het oordeel vertekenen: deelnemers hechtten meer waarde aan risicoverlagingen die een kleurgrens overschreden dan aan even grote verlagingen binnen dezelfde kleur. De grens tussen geel en oranje gaat dan meewegen alsof het een eigenschap van het risico is, terwijl het een eigenschap van het plaatje is.

De optelsom: de matrix is geen meetinstrument en mag niet zo worden gebruikt, maar als gestructureerde gespreks- en prioriteringsvorm heeft zij waarde, mits goed ontworpen en mits de gebruikers haar beperkingen kennen.

Wat is het alternatief?

De wetenschappelijke critici bepleiten vrijwel allemaal hetzelfde alternatief: reken met getallen in plaats van met vakjes. Douglas Hubbard en Richard Seiersen werkten dat voor informatiebeveiliging het verst uit. Zij laten zien dat je ook met weinig gegevens kansen en schades kunt uitdrukken in bandbreedtes, dat je experts kunt trainen om gekalibreerde inschattingen te maken, en dat zelfs een eenvoudig kwantitatief model de vertekening van de matrix grotendeels wegneemt.

Voor een organisatie met een eigen risicoteam en voldoende gegevens is dat de betere weg. Maar hier komt het mkb-onderzoek uit mijn eerdere artikel terug: voor de meeste organisaties zonder voltijdse securityafdeling is een volledig kwantitatieve aanpak op dit moment niet haalbaar, en een slecht uitgevoerde kwantificering wekt meer schijnzekerheid dan een goed begrepen matrix. Het is dus geen keuze tussen zuiver en zondig. De realistische route is een goed ontworpen matrix voor de breedte van het register, met kwantitatieve verdieping voor de paar risico's waar de grootste beslissingen aan hangen.

Hoe werk je er in de praktijk verantwoord mee?

Uit de literatuur volgen vijf gewoonten die het verschil maken tussen een matrix die misleidt en een matrix die helpt.

  1. Veranker elke categorie in getallen. "Waarschijnlijk" wordt dan bijvoorbeeld "vaker dan eens per jaar" en "ernstig" krijgt een bandbreedte in euro's of hersteltijd. Daarmee haal je het taalprobleem van Budescu grotendeels weg en dwing je beoordelaars naar hetzelfde referentiekader.
  2. Beoordeel nooit alleen. De spreiding die Ball en Watt vonden verdwijnt niet, maar wordt hanteerbaar zodra verschillen in het oordeel expliciet besproken worden. Twee beoordelaars die uitkomen op verschillende vakken hebben elkaar iets uit te leggen, en juist dat gesprek levert de inzichten op.
  3. Leg de onderbouwing vast, niet alleen de score. Een vakje zonder redenering is over een jaar niets meer waard. De aannames achter kans en impact zijn wat een auditor, een opvolger of je eigen toekomstige zelf nodig heeft om het oordeel te toetsen.
  4. Gebruik de matrix om te prioriteren, nooit om te bewijzen dat een risico klein is. De rangordefouten van Cox zitten vooral in de vergelijking van individuele vakjes. Voor de vraag welke tien risico's het eerst aandacht verdienen is de matrix bruikbaar; voor de conclusie dat één specifiek risico verwaarloosbaar is, is zij te grof.
  5. Herbeoordeel op signalen in plaats van op de kalender. Een incident, een mislukte oefening of een verontrustend assessment zegt meer over de houdbaarheid van een oordeel dan het verstrijken van twaalf maanden. Dit is de cyclus uit het model: wat je signaleert, voedt de volgende beoordeling.

Voor de volledigheid: zo is het ook in Kantyra ingericht. De schalen van de matrix zijn per organisatie definieerbaar, zodat je ze getalsmatig kunt verankeren. Elk risico vraagt om een onderbouwing naast de score, ernstige incidenten die aan een risico raken zetten automatisch een herbeoordeling klaar, en het spoor van eerdere oordelen blijft bewaard. De matrix zelf blijft daarmee wat zij volgens de literatuur mag zijn: een prioriterings- en gespreksinstrument, ingebed in een werkwijze die haar zwakten opvangt.

Wat betekent dit voor jouw organisatie?

Als je één ding uit dit artikel meeneemt, laat het dan dit zijn: wantrouw niet de matrix, maar wantrouw een kaal vakje. Een score zonder getalsmatige definitie, zonder tweede beoordelaar, zonder onderbouwing en zonder herbeoordeling bij nieuwe signalen is precies het symbolische risicomanagement waar de literatuur voor waarschuwt. Dezelfde matrix, ingebed in die vier gewoonten, is een verdedigbaar en werkbaar instrument, ook tegenover een kritische auditor die Cox gelezen heeft.

Stel jezelf daarom drie vragen. Zijn de categorieën van jouw matrix ergens getalsmatig gedefinieerd, of betekent "waarschijnlijk" bij jullie voor iedereen iets anders? Kun je van je vijf grootste risico's de redenering achter het oordeel terugvinden? En wanneer is dat oordeel voor het laatst getoetst aan wat er sindsdien werkelijk is gebeurd? Wie deze drie vragen kan beantwoorden, gebruikt de matrix zoals de wetenschap het toestaat. Wie dat niet kan, heeft geen matrixprobleem maar een beoordelingsprobleem, en dat is gelukkig oplosbaar.

Verantwoording en bronnen

Dit artikel is een onderbouwde synthese van bestaand wetenschappelijk onderzoek en geen zelfstandig onderzoek dat door vakgenoten is beoordeeld. Waar ik duid of interpreteer, komt die interpretatie voor mijn rekening.

  1. Cox, L.A. (2008). What's Wrong with Risk Matrices? Risk Analysis, 28(2). https://doi.org/10.1111/j.1539-6924.2008.01030.x
  2. Cox, L.A., Babayev, D. & Huber, W. (2005). Some Limitations of Qualitative Risk Rating Systems. Risk Analysis, 25(3). https://doi.org/10.1111/j.1539-6924.2005.00615.x
  3. Thomas, P., Bratvold, R.B. & Bickel, J.E. (2014). The Risk of Using Risk Matrices. SPE Economics & Management, 6(2). https://doi.org/10.2118/166269-PA
  4. Ball, D.J. & Watt, J. (2013). Further Thoughts on the Utility of Risk Matrices. Risk Analysis, 33(11). https://doi.org/10.1111/risa.12057
  5. Duijm, N.J. (2015). Recommendations on the use and design of risk matrices. Safety Science, 76. https://doi.org/10.1016/j.ssci.2015.02.014
  6. Sutherland, H., Recchia, G., Dryhurst, S. & Freeman, A.L.J. (2022). How People Understand Risk Matrices, and How Matrix Design Can Improve their Use: Findings from Randomized Controlled Studies. Risk Analysis, 42(5). https://doi.org/10.1111/risa.13822
  7. Proto, R. en anderen (2023). Do colored cells in risk matrices affect decision-making and risk perception? Insights from randomized controlled studies. Risk Analysis. https://doi.org/10.1111/risa.14091
  8. Budescu, D.V., Broomell, S.B. & Por, H.-H. (2009). Improving Communication of Uncertainty in the Reports of the Intergovernmental Panel on Climate Change. Psychological Science, 20(3). https://doi.org/10.1111/j.1467-9280.2009.02284.x
  9. Tversky, A. & Kahneman, D. (1974). Judgment under Uncertainty: Heuristics and Biases. Science, 185(4157). https://doi.org/10.1126/science.185.4157.1124
  10. Hubbard, D.W. & Seiersen, R. (2023). How to Measure Anything in Cybersecurity Risk (tweede editie). Wiley. https://doi.org/10.1002/9781119892335
Zien hoe dit in Kantyra werkt?

In een demo van 30 minuten lopen we het model door aan de hand van jouw situatie.

Plan een demo

Meer in de fase Beoordelen