We zeggen het zo vaak; iedereen is een risicomanager, want iedereen managet dagelijks risico’s. Een flauw voorbeeld is dat we toch eerst naar links, rechts en dan weer naar links kijken wanneer we de straat oversteken. In organisaties willen we hetzelfde; dat alle managers risico’s managen. Heel eerlijk denk ik dat veel managers dit automatisch doen. Maar er is één probleem, de enorme toename aan risico’s o.a. uit wet- en regelgeving. Ook dit zijn risico’s die gemanaged moeten worden. Het is echter de vraag door wie?
Een voorbeeld
We lopen steeds meer risico’s op het gebied van informatiebeveiliging dat is voor iedereen helder. Vanuit bijvoorbeeld de BIO of ISO27000 moeten deze risico’s gemanaged worden. De RvB richt de governance in en benoemt een CISO. De CISO haalt uit de wet de grootste risico’s en de daarbij behorende beheersmaatregelen die getroffen moeten worden. Daarna gaat de CISO de organisatie in om managers bewust te maken van deze risico’s en vervolgens te vragen of de beheersmaatregelen wel aanwezig zijn. En het liefst aantoonbaar. De rapportage gaat vervolgens weer naar de RvB en alles is in control of er zijn enkele beheersing verbeterpunten. Klinkt mooi maar de praktijk is anders…
Ik noem als voorbeeld even een CISO, maar dit kan ook de privacy officer, compliance officer of MVO manager zijn natuurlijk.
Verschillende perspectieven; hoe kijken de betrokkenen naar dit risicogebied?
Perspectief CISO
Een CISO is verantwoordelijk voor het beleid rondom informatiebeveiliging.
Helaas kan de CISO niet alle risico’s zelf managen. Hij heeft de organisatie nodig om informatie op te halen om te kunnen rapporteren naar directie en RvC.
Perspectief manager
Een manager managet zijn inhoudelijke risico’s en personeelsrisico’s. Daarnaast is hij druk. Heeft verantwoording over financiën, personeel, maar ook rondom privacy. Heeft weinig met IT-risico’s. Snapt het wel, maar kan er niet zo veel mee waardoor het voorbeeldgedrag lastig is.
Wie is nu de risicomanager?
Is de manager van zo’n decentrale afdeling dan de beste manager van deze risico’s?
Mijn antwoord is NEE. Risico’s kunnen het best beheerst worden door diegenen die er belang bij hebben. En de vraag is wie er het meest belang bij heeft. Dat is in mijn ogen de CISO, want de CISO wordt als eerste aangesproken en is degene die hier 100% van zijn tijd mee bezig moet zijn. Voor de manager is het bijzaak. Iets waar de manager als het goed is 5% van zijn of haar tijd aan besteedt. Als je vervolgens 95% van je werk goed doet kun je moeilijk daarop worden aangesproken…
Hoe dan verder?
De beste risicomanager is de CISO dus. Maar de CISO dient wellicht CISO-keuzes te maken. Kort gezegd: prioriteren, standaardiseren maar ook faciliteren.
Prioriteren van de belangrijkste risico’s en key controls voor de organisatie door de CISO zelf. Waarom? Je kunt niet 100 risico’s de organisatie in stampen. Er moet een voorselectie worden gemaakt van de belangrijkste risico’s die de continuïteit van de organisatie bedreigen. De CISO dient dit te doen, want hij of zij weet er het meeste vanaf.
Daarnaast dient hij of zij de risicomanagement informatie te standaardiseren. Dit betekent dat er centraal risico’s en controls moeten worden gestandaardiseerd, zodat ze gemakkelijk kunnen worden uitgevraagd aan de managers. Maak het ze makkelijk door zelf rechtstreeks medewerkers bewust te maken. Bijvoorbeeld door bepaalde nepmails de organisatie in te gooien.
Conclusie
Niet iedereen is een risicomanager van alle risico’s. Zorg dat je risico’s dáár neerlegt bij degenen die er écht belang bij hebben en er niet mee weg kunnen komen. En als je dan risicomanager bent: faciliteer, prioriteer en standaardiseer!
