TREND risicomanagement: start vanuit doelen en processen, niet vanuit normen!

Dinsdag 16 juli 2019| Leestijd: 3 minuten | Iris Boderie

Als organisatie sta je ergens voor en wil je ergens naartoe werken. Helaas kun je hierbij geen invloed uitoefenen op veranderingen en eisen van buitenaf. Onze omgeving wordt nou eenmaal steeds veeleisender en de aandacht voor bijvoorbeeld privacy, veiligheid en gezondheid blijft toenemen. Het belang van risicomanagement wordt hierdoor steeds groter. Maar ook de manier waarop we risicomanagement uitvoeren, verandert, aldus Marieke Kessels (integraal risicomanagement specialist bij Infoland). “Risicomanagement wordt steeds vaker ingezet om een betrouwbare organisatie te creëren (voor alle stakeholders) en niet om alleen maar te voldoen aan de wet- en regelgeving. Een kans waar veel meer organisaties op zouden moeten inspelen!”

Deze kansen lopen we momenteel mis

“Wat we tegenwoordig nog vaak zien, is dat organisaties beginnen met risicomanagement omdat het verwacht wordt vanuit verschillende normen en/of de wet- en regelgeving. Denk bijvoorbeeld aan de GDPR of informatiebeveiliging. Maar door normen als vertrekpunt te nemen voor je risicomanagement, loop je als organisatie mooie kansen mis, namelijk:

Je focust hierdoor niet op het besturen en beheersen van de organisatie maar op het volledig compliant willen zijn.
Je stimuleert daarnaast het werken in eilandjes (per afdelingen wordt elke norm apart bekeken) waardoor er inefficiënt gewerkt wordt en er veel dubbele risico’s geformuleerd worden.
Ook creëer je een hoge drempel voor medewerkers om met risicomanagement aan de slag te gaan aangezien ze de meerwaarde voor zichzelf niet inzien.
Tot slot is het vaak onduidelijk wie (eind)verantwoordelijk is. Je mist eigenaarschap en dat gaat vaak ten koste van de risicobeheersing.

Een mooi voorbeeld als je risicomanagement vanuit normen uitvoert, is het beleid van een organisatie over (nood)deuren. Als je denkt vanuit veiligheidsnormen, dan moeten de deuren altijd open staan. Je moet tenslotte zo snel mogelijk weg kunnen als dat nodig is. Maar als je denkt vanuit security, dan moeten de deuren dicht zijn. Want zodra deuren continu open staan, kan ook iedereen (inclusief onbevoegden) naar binnen. En dan heb je kans op datalekken, diefstal etc. Dit werkt elkaar natuurlijk behoorlijk tegen. Je ziet dus dat het werken vanuit normen niet altijd even handig en efficiënt is.”

Hoe moet het dan wel?

Daar heeft Marieke wel een idee over. “Vertrek vanuit de strategie en het proces! Laat afdelingen zelf kijken naar hun doelen, wat deze doelen exact voor hen betekenen en wat eventuele belemmerende factoren kunnen zijn. Door te kijken naar wat men wilt bereiken (de doelen) en wat hen hierin kan tegenhouden, vergroot je de betrokkenheid en het risicobewustzijn aanzienlijk. Hier zijn medewerkers namelijk dagelijks mee bezig (de doelen zijn hun drijfveren). Vervolgens ga je pas kijken welke normen bij welke risico’s horen. Je gebruikt de norm dus meer als checklist achteraf en niet als leidraad voor risicomanagement.

Door de bedrijfsstrategie en -processen als uitgangspunt te nemen voor risicomanagement, zorg je ervoor dat:

Je het bewustzijn en de betrokkenheid binnen de gehele organisatie vergroot, aangezien er ingespeeld wordt op de drijfveren (doelen) van de verschillende afdelingen.
Risico’s worden beheerst omdat men er zelf ook echt de waarde van inziet (men voelt zich verantwoordelijk).
Er efficiënter gewerkt wordt. In plaats van dat je alle normen één voor één (per afdeling) gaat behandelen, ga je nu aan de hand van de opgesomde risico’s kijken welke normen eraan gekoppeld kunnen worden.
Je een uniforme wijze kunt aanhouden voor risicomanagement. Je hoeft nu niet elke norm apart te behandelen maar gebruikt de normen als check.”

Wanneer normen wél van pas komen?

Het advies dat Marieke alle organisaties wilt meegeven is: “zorg ervoor dat risicomanagement echt van jouw organisatie wordt en niet van een norm. Vertrek daarom vanuit het bedrijfsprofiel (wie zijn wij als bedrijf, waar staan we voor en waar gaan we voor) en kijk vanuit daar welke zaken je hierin kunnen tegenhouden (de risico’s). Deze manier van risicomanagement wil echter niet zeggen dat de normen vervolgens niet meer van belang zijn. Je gaat ze alleen anders inzetten. Je gebruikt ze namelijk niet meer als leidraad voor jouw risicomanagement, maar gebruikt ze om de risico’s af te toetsen én om over risico’s te communiceren. Mis ik nog belangrijke dingen? Zo ja, vul het aan! Dit is veel efficiënter dan dat je elke norm individueel gaat behandelen.”

Leuk weetje: ook bij ISO zijn ze deze werkwijze steeds meer aan het toepassen volgens de High Level Structure (HLS).

Aan de slag!

Ben jij enthousiast geworden over dit verhaal en wil je zelf aan de slag met deze aanpak? Marieke Kessels en haar collega Bart Bolwijn (integraal risicomanagement specialisten bij Infoland) helpen je graag op weg. Bel voor een vrijblijvend advies naar 040 – 848 58 68 of stuur een mail naar steluwvraag@infoland.nl