Hvad betyder det i praksis?
I praksis starter en risikobaseret tilgang med en vurdering af, hvilke trusler der findes, hvor sandsynlige de er, og hvor alvorlige følgerne kan blive. På den baggrund kan en myndighed, virksomhed eller organisation beslutte, hvor der skal sættes ind med skærpede kontroller, og hvor en mere begrænset indsats er tilstrækkelig.
I hvidvaskarbejde kan det for eksempel betyde, at en bank fører tættere kontrol med kunder, transaktioner eller produkter, der vurderes som særligt risikofyldte. I it-sikkerhed kan en virksomhed bruge flere ressourcer på at beskytte følsomme personoplysninger end på systemer med mindre betydning. Pointen er ikke at fjerne al risiko, men at håndtere den på en målrettet og proportionel måde.
Hvorfor bruges den?
Fordelen ved en risikobaseret tilgang er, at den ofte giver en mere effektiv brug af tid, penge og personale. Hvis alle områder fik samme opmærksomhed, kunne det føre til unødigt bureaukrati nogle steder og for svag kontrol andre steder. En risikobaseret tilgang gør det derfor muligt at fokusere på de mest alvorlige trusler først.
Metoden kræver dog løbende opdatering. Risici ændrer sig over tid, for eksempel når ny teknologi, nye regler eller nye former for kriminalitet opstår. Derfor bygger tilgangen på både data, faglige vurderinger og regelmæssig revurdering.