Methodiek voor risicomanagement

“Het grootste risico is het risico dat je niet regisseert.”

Er zijn heel veel methoden op de markt, die gericht zijn op het inzichtelijk maken van risico’s die organisaties lopen. Veel organisaties hebben echter geen vaste methode om de risico’s die ze op het gebied van beveiliging lopen goed inzichtelijk te maken en te houden. Onder ‘goed’ verstaan we dan in dit geval: dusdanig, dat de risico’s ook echt worden begrepen door zoveel mogelijk medewerkers.

Als de organisatie al wel zo’n methodiek heeft, dan zie je vaak dat deze erg ingewikkeld is gemaakt. Het is een heel professioneel opgesteld systeem met veel afwegingen en veel kleurgebruik. Voor sommigen moet je haast wel academisch geschoold zijn om de methode te kunnen hanteren. Het gevolg hiervan is dat slechts een enkele, daartoe gespecialiseerde functionaris de methode kan gebruiken of dat er specialisten nodig zijn en dan ingehuurd moeten worden om de periodieke risicoanalyses uit te voeren.

Organisaties worden daarmee afhankelijk van deze specialisten. Je kunt het proces van risicomanagement wel uitbesteden maar je zult toch zelf een keuze moeten maken in wat je met de onderkende risico’s wilt (accepteren, mitigeren).

Afhankelijkheid voelt al niet goed, maar erger is nog dat door de complexiteit van de gekozen methode de aandacht wordt afgeleid van de inhoud waar het om gaat: kennis van de organisatie met diens specifieke eigenschappen en risico’s en daarmee het kunnen voeren van een gedegen, doordacht en gedragen risicomanagement.

De klantvraag

Ontwikkel een praktische risicomanagement methodiek, die door een grote groep mensen binnen onze organisatie zelf kan worden uitgevoerd om zo de risico’s beter en begrijpelijker inzichtelijk te maken om dan vervolgens de juiste beslissingen te kunnen nemen om deze risico’s goed te managen.

De aanpak

Vanuit de verschillende risicomanagement methodieken hebben we een selectie gemaakt van vrij simpele tot zeer complexe methodieken en op basis daarvan een voorstel gedaan die het best aansloot bij de organisatie van de opdrachtgever.

Organisaties moeten accepteren dat risicomanagement veelal geen exacte wetenschap is omdat de statistieken op het gebied van beveiliging nu eenmaal vaak onvolledig zijn en risico’s nu eenmaal tot onzekerheden leiden. Er moet een keuze gemaakt worden tussen methodieken die te eenvoudig zijn en te weinig zekerheid bieden en methodieken die wellicht iets meer zekerheid bieden maar voor de meeste medewerkers onbegrijpelijk zijn.

De voorgestelde methodiek is maatwerk en is verder uitgewerkt in duidelijke instructies zodat het voor iedere medewerker begrijpelijk is wat er van hem of haar verwacht wordt. Op basis van de risico inschatting door de medewerker zelf kan hij of zij zelf ook veel beter bepalen welke beveiligingsmaatregelen nodig en welke maatregelen overbodig zijn.

Tot slot hebben wij de organisatie verder op weg geholpen door de eerste risicoanalyses op het gebied van beveiliging te faciliteren. Hiermee kregen zij snel inzicht in de risico’s die ze lopen en waar nog aanvullende maatregelen nodig waren. Vervolgens is de methodiek overgedragen aan de organisatie en belangrijker nog: geborgd in de organisatie zodat de medewerkers er zelf gebruik van kunnen blijven maken.

Het resultaat

Het resultaat is dat voor deze organisatie een risicomanagement methodiek is ingevoerd, die in opzet eenvoudig is om in te vullen. Er wordt een goed inzicht gegeven in de risico’s die de organisatie loopt. Maar het belangrijkste is dat veel meer medewerkers dan voorheen zich nu meer betrokken voelen bij het risicomanagement van de organisatie. Er is een omslag gemaakt van rule based denken (het implementeren van maatregelen) in veel meer risk based denken (het implementeren van maatregelen als die een onacceptabel risico afdekken).

De methodiek en de risico’s worden niet meer gezien als het feestje van een ander, maar als een onderwerp waar men zelf nauw bij betrokken is. Iedere medewerker neemt zijn of haar verantwoordelijkheid voor de continuïteit van de organisatie en daarmee ook voor de risico’s van hun eigen werk.

Wat RisicoRegisseurs voor jouw organisatie kan betekenen

Met een compleet pakket aan diensten helpen wij organisaties in control te komen en te blijven op het gebied van beveiliging. Van het onderzoeken van welke methodieken het best passen bij het risicomanagement van de organisatie tot en met het implementeren hiervan.

Hierbij is onze focus gericht op de acceptatie van de methodiek door de medewerkers binnen de organisatie, zodat zij zelfsturend worden in het managen hiervan.