De perfecte risicoanalyse

Een goede risicoanalyse identificeert, weegt en beheerst risico's systematisch — niet één keer, maar als doorlopend proces binnen je managementsysteem. In dit artikel delen we onze visie op een efficiënte risicoanalyse: welke stappen je zet, welke valkuilen je vermijdt en hoe je het geheel vastlegt en beheert in Normity.

Marcel van Langen
Normity - Icon - Twitter Normity - Icon - Facebook Normity - Icon - LinkedIn Normity - Icon - Whatsapp Normity - Icon - Pinterest Normity - Icon - Email Normity - Icon - Email Normity - Icon - Plus

We nemen je graag mee in onze beleving van een risicoanalyse. We delen onze ervaringen wat we bij onze klanten zien, wat werkt en wat niet werkt. En natuurlijk dat alles in relatie tot ons Normity platform. We hopen dat je er inspiratie uit haalt en dat het je helpt bij het maken van een goede risicoanalyse.

Stap 1: Vaststellen van afspraken

Een goede risicoanalyse vereist een goede basis. En die basis begint allereerst met het vaststellen van afspraken. Namelijk: hoe gaan wij als organisatie een risicoanalyse uitvoeren? Waar gaan we de risico's vastleggen? Hoe gaan we de risico's beoordelen? Kortom: het begint met een document, waarin deze afspraken worden vastgelegd. Het maakt niet zoveel uit hoe je dit document noemt, maar duidelijk moet zijn dat het een beleidsdocument is. Wat je in het beleidsdocument wilt vastleggen bepaal je natuurlijk zelf, maar zorg ervoor dat in ieder geval de volgende zaken worden vastgelegd:

  • Welke fasen doorloopt een risicoanalyse?
  • Wie is betrokken bij de risicoanalyse?
  • Wordt een dreigingsmodel gebruikt?
  • Wat moet verplicht bij een risico worden vastgelegd?
  • Hoe vaak voer je een risicoanalyse uit?
  • Hoe bepaal je de weging van de risico's?
  • Hoe bepaal je of je een risico gaat oppakken?
  • Waar leg je de te nemen maatregelen vast?

Het belangrijkste doel wat je met dit beleidsdocument hebt bereikt is dat het proces van de risicoanalyse duidelijk, inzichtelijk en herhaalbaar is. Wanneer iemand bijvoorbeeld bij een risico aangeeft dat de impact 'hoog' is, weet je op basis van dit document wat daarvan de betekenis is. En als een nieuw iemand betrokken wordt bij het proces van de risicoanalyse, kan hij in het beleidsdocument lezen wat er van hem wordt verwacht.

Voor dit soort beleidsdocumenten zijn er voldoende voorbeelden te vinden op het internet of bij collega's. Vraag het ook gerust eens aan ons, geen probleem! Het belangrijkste is dat je een document hebt waarin deze afspraken zijn vastgelegd. En niet vergeten: we geloven heilig in continue verbetering, dus het is helemaal niet erg als je document nog niet perfect is. Als de inhoud maar in overeenstemming is met de realiteit.

Normity - Risicoanalyse - Beleidsdocument

Dit beleidsdocument leggen we vast in Normity. We geven aan dit document een eigenaar en koppelen een functie aan het document (bijvoorbeeld een security officier of een risk manager). We koppelen natuurlijk het document even aan de relevante normelementen. Verder geven we een planning aan dit document, zodat we zeker weten dat periodiek iemand kijkt of het document nog steeds in overeenstemming is met de werkelijkheid.

Stap 2: Plannen van risicoanalyse

Nu we de afspraken hebben vastgelegd, kunnen we aan de slag met het plannen van een risicoanalyse. Wij gaan er daarbij altijd vanuit dat de risicoanalyse een cyclisch proces is, bestaande uit twee aparte taken:

  • Het uitvoeren van een risicoanalyse
  • Het tussentijds beoordelen van de risico's

Dit zijn in Normity ook daadwerkelijk twee aparte taken. De eerste taak is gericht op het uitvoeren van een risicoanalyse, waarbij je de risico's vastlegt en beoordeelt. De tweede taak is gericht op het tussentijds beoordelen van de risico's, waarbij je kijkt of er nieuwe risico's zijn bijgekomen, of dat er al genomen maatregelen zijn die de risico's hebben verminderd.

Het mooie van deze twee taken is dat je ze ook apart kunt plannen. Afhankelijk van de omvang en situatie van de organisatie plannen wij het graag als volgt: de risicoanalyse wordt jaarlijks uitgevoerd. Tussentijds wordt in de overige kwartalen (dus 3 keer) een tussentijdse beoordeling uitgevoerd. Je ziet dat terug in onderstaand screenshot!

Normity - Risicoanalyse - Taken

Oh, en natuurlijk koppelen we dat beleidsdocument aan deze taken als bronbestand. Op die manier hebben we altijd een link tussen de afspraken die we hebben gemaakt en de uitvoering van de risicoanalyse. En bovendien kunnen we ook nog eens terugkijken naar het document als we bezig zijn met de risicoanalyse, zodat we zeker weten dat we ons aan de afspraken houden.

Stap 3: Uitvoeren van risicoanalyse

Oke, we hebben nu dus vastgelegd hoe we de risicoanalyse gaan uitvoeren en we hebben de risicoanalyse gepland. Tijd om deze daadwerkelijk uit te voeren. Hoe je dat wilt gaat doen is natuurlijk geheel aan jou, maar wij delen graag een methode die wij graag toepassen. Daarbij doorlopen we de volgende stappen:

  1. Selecteer de deelnemers
    Bepaal welke medewerkers binnen jouw organisatie gaan deelnemen aan de risicoanalyse. Idealiter een mooie afspiegeling van verschillende afdelingen en functies, dus niet alleen maar medewerkers van één afdeling of functie. Mik op een deelnemer of 6 in totaal.
  2. Organiseer een startbijeenkomst
    Het is belangrijk dat alle betrokkenen ook daadwerkelijk mee willen doen en tijd hebben. Bovendien is deze bijeenkomst een mooi moment om het verdere traject toe te lichten.
  3. Verstuur de startmail
    Alle betrokkenen ontvangen nu de startmail. In die startmail zit ook het complete dreigingsmodel dat door jou gekozen is, bijvoorbeeld RAVIB, MAPGOOD of een ander model.
  4. Selecteren risico's
    Alle betrokkenen stellen nu een lijst op met hun 5 belangrijkste risico's. Deze zijn gebaseerd op een van de dreigingen uit het dreigingsmodel, maar uitgewerkt naar jullie organisatie.
  5. Verwerken risico's
    Alle risico's worden nu verzameld. Ze worden niet beoordeeld, maar alleen gecontroleerd op compleetheid en eventueel ontdubbeld. Deze lijst vormt de input voor de volgende stap.
  6. Organiseer een vervolgbijeenkomst
    Je komt weer samen met de betrokkenen. In een goed gesprek gaan jullie in overleg over de risico's. Zo scherp je de risico's verder aan en ontstaat meteen een prioriteit. Vanzelfsprekend bespreek je ook mogelijke maatregelen om de risico's te mitigeren.
  7. Verwerken risico's
    Je gaat nu de risico's vastleggen (daarover zometeen meer), inclusief aanpak en definitieve inschatting. Natuurlijk communiceer je met de betrokkenen, maar ook met management, over de resultaten van de risicoanalyse.
Een vraag die wij wel eens krijgen is uit hoeveel risico's een risicoanalyse moet bestaan. Het antwoord daarop is: dat hangt er helemaal vanaf. Maar heel algemeen gesteld kun je wel zeggen dat heel weinig risico's waarschijnlijk betekent dat je niet goed hebt nagedacht over de risico's. En heel veel risico's betekent waarschijnlijk dat je een groot deel toch niet gaat oplossen. Mik daarom op een realistisch aantal risico's, vaak tussen de 10 en 20 risico's.

Op deze manier neem je de betrokkenen echt mee in het proces. Je zorgt ervoor dat ze zich gehoord voelen, dat ze hun input kunnen leveren en dat ze ook daadwerkelijk betrokken zijn bij het proces. En dat is natuurlijk precies wat je wilt bereiken. En bovendien: de tijdsinspanning van deze aanpak is ook beperkt voor iedereen, dus dat maakt het ook nog eens heel goed uitvoerbaar.

Een aandachtspunt die wellicht voor jullie relevant is: zorg er voor dat je - wanneer je je risico's in kaart hebt gebracht - ter afronding ook de toepasselijkheid waar nodig aanpast. Diverse normenkaders (waaronder de ISO 27001) hebben namelijk normenelementen die van toepassing kunnen worden verklaard. Zoals je je kunt voorstellen kan een nieuwe risico ervoor zorgen dat een normelement van toepassing wordt. Of vice versa.

Stap 4: Vastleggen van risico's

Zoals hierboven al genoemd is de laatste stap het vastleggen van de risico's in Normity. Daarvoor gaan we naar de module Risicoanalyse en we starten een nieuwe risicoanalyse. Vanzelfsprekend geven we daarbij ook meteen aan welk dreigingsmodel we hebben gebruikt. Vervolgens gaan we de risico's vastleggen. We gaan het daarbij nog niet hebben over de maatregelen, dat komt in de volgende fase. We richten ons nu alleen op het vastleggen van de risico's. En dat doen we als volgt:

  • Ga naar het tabblad Dreigingen bij de risicoanalyse
  • Klik de gekoppelde dreiging aan om de details te bekijken
  • Pas de inhoud aan naar de organisatiespecifieke risico's
  • Geef bij ieder risico in ieder geval de volgende informatie:
    • Wie is de eigenaar?
    • Welke normelementen horen bij het risico?
    • Wat is de initiele inschatting van kans en impact?
    • Wat is de motivatie achter deze inschatting?
    • Eventuele aanvullende informatie als:
      • Waar is het risico geconstateerd?
      • Voor welke afdelingen is dit relevant?
      • Welke processen zijn betrokken?
      • Is het een intern of extern risico?
      • ...

Doordat je hier de koppeling maakt met de dreiging uit het dreigingsmodel, weet je altijd zeker dat je op een later moment terug kunt halen welke dreiging onder het risico ligt. Bovendien kan Normity op basis van de koppeling met de dreiging automatisch normelementen suggereren om te koppelen. Wel zo handig!

Normity - Risicoanalyse - Dreigingen

Alle risico's vastgelegd in Normity? Dan heb je waarschijnlijk een mooie risicoanalyse met een risico of 15. Dat is een mooi resultaat!

Stap 5: Maatregelen koppelen

Nu we de risico's hebben vastgelegd, kunnen we aan de slag met het koppelen van maatregelen. Dat doen we in principe alleen voor de risico's die we daadwerkelijk gaan oppakken (die dus de status Mitigeren hebben gekregen), maar het is ook helemaal OK om andere risico's ook te voorzien van maatregelen. Maar zoals gezegd: in ieder geval de te mitigeren risico's. Maatregelen in Normity zijn over het algemeen:

  • Taken
    Periodiek terugkerende activiteiten als een periodieke controle of een periodiek overleg.
  • Acties
    Eenmalige maatregelen als het ophangen van een sleutelkast of het opstellen van een document.
Normity - Risicoanalyse - Maatregelen

Vaak is het een combinatie van beide, dus zowel taken als acties. Maar misschien is het ook wel iets anders bijvoorbeeld een item in het verbeterregister of een ander soort maatregelen. In Normity kun je al deze te nemen maatregelen vastleggen en direct koppelen aan het risico. Natuurlijk zorg je ervoor dat zo'n taak of actie een uitvoerder heeft, een deadline, een status en andere relevante informatie.

Zo, dat is klaar. Je kunt nu gaan focussen op het (laten) uitvoeren van de maatregelen. Je managementsysteem werkt! Je hebt nu ook een mooie basis neergelegd, waarbij je jezelf meer en meer in een controlerende in plaats van uitvoerende rol gaat bevinden. En dat is natuurlijk precies wat je wilt bereiken.

Mooi om te zien: verschillende losse onderdelen van jouw managementsysteem komen nu samen in de risicoanalyse. Je hebt de risico's, de bijbehorende documenten, de medewerkers, normelementen (compliancy!), acties, taken etc. allemaal bij elkaar gebracht. Een werkend managementsysteem!

Stap 6: Tussentijdse beoordeling

We gaven het hierboven al aan: naast de periodieke risicoanalyse gaan we ook een tussentijdse beoordeling van risico's doen, bijvoorbeeld in de kwartalen van het jaar dat we niet de risicoanalyse zelf doen. De gedachte daarachter: de risicoanalyse is een momentopname. Door een tussentijdse beoordeling geven we risicoeigenaren de mogelijkheid om de beoordeling van de risico's aan te passen, bijvoorbeeld omdat er nieuwe informatie is of omdat er al maatregelen zijn genomen. Bovendien kunnen ze ook nieuwe risico's toevoegen, bijvoorbeeld omdat er een nieuw project is gestart of omdat er een nieuwe dreiging is ontstaan.

In sommige situaties is 3x per jaar een tussentijdse beoordeling veel te weinig. In andere situaties is het misschien wel 3x per jaar te veel. Het is aan jou om te bepalen wat voor jouw organisatie een goede frequentie is. Maar het belangrijkste is dat je een moment inbouwt waarop je de risico's tussentijds beoordeelt, zodat je zeker weet dat je risicoanalyse altijd up-to-date is. In algemene zin is 3x per jaar een mooie frequentie om mee te starten.

Hoe doe je nu zo'n tussentijdse beoordeling in de praktijk? Dat is mede afhankelijk van de volwassenheid van jouw organisatie. Het maakt immers nogal verschil of de risicoeigenaren zich echt eigenaar voelen, of dat ze er eigenlijk niet zoveel mee doen. Maar in algemene zin geldt de volgende aanpak:

  1. Plan een een-op-een
    Stuur een herinnering naar alle risico-eigenaren dat het tijd is voor de tussentijdse beoordeling. In die herinnering geef je ook alvast aan wat je van hen verwacht. Stuur hen ook meteen een overzicht van de risico's waarvoor zij risicoeigenaar zijn. Plan een moment waarbij je een-op-een met de individuele risicoeigenaren zit. Later kun je hiervoor een andere vorm gaan kiezen, wanneer de risicoeigenaren meer zelfstandig kunnen opereren.
  2. Beoordeel de risico's
    De risico-eigenaren gaan nu aan de slag met het beoordelen van de risico's. Jij bent erbij om hen te ondersteunen en mee te denken. Houd Normity erbij en maak direct aanpassingen indien nodig. Ze kunnen daarbij ook nieuwe risico's toevoegen, bijvoorbeeld omdat er een nieuw project is gestart of omdat er een nieuwe dreiging is ontstaan.

Wat betekent dit nu concreet? Concreet betekent dit dat je de risico's waaraan die risicoeigenaar is gekoppeld erbij pakt en ze stuk voor stuk met hen doorneemt. Belangrijk daarbij is dat je in ieder geval het volgende bespreekt:

  1. Is de definitie van het risico nog correct?
    Zo nee, dan pas je dit aan op het tabblad Risico.
  2. Wat is de nieuwe inschatting van het risico?
    Dit pas je aan op het tabblad Voortgang.
  3. Zijn de maatregelen nog voldoende?
    Zo nee, dan pas je dit aan op bijv. de tabbladen Taken of Acties.
Normity - Risicoanalyse - Voortgang

Doordat je alles vastlegt in Normity heb je meteen een mooie audittrail van alle wijzigingen en beoordelingen. Heeft de risicoeigenaar zelf ook een account in Normity? Zorg er dan voor dat de risicoeigenaar zelf de aanpassingen maakt. Niet alleen is het logboek dan helemaal correct, maar het vergroot ook hun zelfstandigheid.

Dit is in eerste instantie alles wat je doet. Je zorgt er hiermee voor dat stapsgewijs de risicoeigenaren zich meer en meer eigenaar gaan voelen van de risico's. En dat is precies wat je wilt bereiken. Je zult zien dat het steeds beter gaat!

Stap 7: Repeat!

Zoals je weet vliegt de tijd. Dat betekent dat je - voor je het weet - alweer toe bent aan een compleet nieuwe risicoanalyse. Een belangrijke vraag is hoe je om wilt gaan met de risico's die je in de vorige risicoanalyse hebt vastgelegd. Neem je ze gewoon over, pas je ze aan of laat je ze helemaal achterwege? Dat is natuurlijk aan jou, maar wij zijn een groot voorstander van de schone lei. Dit betekent concreet dat je bij iedere nieuwe risicoanalyse alle bestaande risico's afsluit en opnieuw begint.

Dit is ook wel logisch. Je hebt een jaar kunnen werken aan de te mitigeren risico's. Bovendien heeft ook de wereld niet stilgestaan. De kans is met andere woorden groot dat het risico niet meer dezelfde is, zelfs als je niet aan de maatregelen toe bent gekomen. Kortom: begin gewoon lekker opnieuw met nieuwe risico's. Het zal vast wel eens voorkomen dat er daardoor 2x hetzelfde risico is. Dat kan een keer gebeuren.

En tenslotte: vergeet niet om bij iedere nieuwe cyclus te kijken waar je het proces kunt verbeteren. Misschien kan het proces iets soepeler, misschien wil je graag iets meer informatie vastleggen bij een risico, misschien wil je iets meer of juist minder mensen betrekken, wat voor jullie werkt. Continue verbetering FTW!

risicoanalyse Normity risico's organisatie beheersen identificeren KMS managementsysteem compliance kwaliteitsmanagement risicobeheer monitoring documentatie audits verbeteringen acties controles structuur
Normity - Icon - Twitter Normity - Icon - Facebook Normity - Icon - LinkedIn Normity - Icon - Whatsapp Normity - Icon - Pinterest Normity - Icon - Email Normity - Icon - Email Normity - Icon - Plus

Kwaliteitsmanagement

ISO 9001
4-O systematiek
Dreigingsmodellen
Managementsysteem
ISO 17025
Certificatie
Audits
PDCA cyclus

Informatiebeveiliging

ISMS
BIO2
ISO 27001
ISO 27002
NEN 7510
RAVIB
MAPGOOD
Phishing
Awareness
Dreigingsmodellen

Privacy

Verwerkingregister
Wpg voor boa's
Grondslagen
Privacy by design
Privacy by default
ISO 27701
Privacy quiz
Dreigingsmodellen

Veiligheid & Arbo

ISO 45001
VCA
VCU
RI&E
CS-OOO
Veiligheidsladder
ISO 14122

Milieu & duurzaamheid

ISO 14001
ISO 26000
VCA
VCU
EMAS
CO2 prestatieladder

Sectorspecifiek

ISO 17025
ISO 20252
HKZ
REOB
VCA
CS-OOO

Diensten

Nulmetingen
Interne audits
Pentesten
Awareness
Implementatie
Overstappen

Functionaliteit

Quality management
Document management
Asset management
Privacy management
Risk management
Supplier management
Security management
Process management