Risicomanagement, bowties en post-its


In mijn vorige blog over risicomanagement (Drie argumenten om vandaag nog met risicomanagement te beginnen) gaf ik drie argumenten waarom je vandaag nog met risicomanagement op gebied van informatiebeveiliging en privacy moet beginnen. Ook dit jaar heb ik overheden, veiligheidsregio’s en zorginstellingen geholpen om stappen te zetten in risicomanagement. Een van de belangrijkste zaken waar ik aan vast blijf houden: 'het begint met de eerste stap'. Graag deel ik mijn eigen werkwijze om vandaag nog met risicomanagement aan de slag te gaan.

Wat is die eerste stap dan?

Begin eenvoudig met een aantal (1 tot 5) workshops. De reden hiervoor is simpel. Ik ben ervan overtuigd dat goed risicomanagement ontstaat door samen te werken met alle lagen van de organisatie. Juist door klein te beginnen met korte sessies creëren we draagvlak voor het inhoudelijke aspect van risicomanagement. De deelnemers zijn vertegenwoordigers uit (een deel van) deze lagen. Met hen ga ik vanuit hun eigen perspectief de dialoog aan. De werkvorm zorgt dat iedereen aan bod komt, alle perspectieven gedeeld worden en het beoogde draagvlak voor risico’s en maatregelen ontstaat.

En hoe doe je zo'n workshop dan?

Waarover gaat de workshop?

Ik start graag met actuele casuïstiek. Voorbeelden hiervan zijn processen waarin recent datalekken zijn geweest, applicaties die vervangen worden of grote projecten.

Met wie doe je de workshop?

De deelnemers aan de workshop moeten aan een aantal eisen voldoen.

  • Ze moeten kennis hebben van het proces/systeem dat wordt behandeld.
  • Ze moeten de vrijheid van spreken van de andere deelnemers niet (onbewust) beperken.
  • Ze moeten in staat zijn om in risico's te denken - maar stiekem doet iedereen dat dagelijks al.
  • Welke aanpak kies je voor de workshop?

Ik kies als aanpak tegenwoordig vaak de BowTie-methodiek. Deze methode werkt wat mij betreft perfect voor het inventariseren van risico's - zeker als je het laagdrempelig wil maken. Door het scenario-denken waar de methodiek op gestoeld is, kan iedereen mee komen. Bovendien zorgt het uitwerken van de aanleidingen en gevolgen van risico’s ervoor dat iedereen waarde kan toevoegen, vanuit zijn of haar eigen perspectief.

Als werkvorm gebruik ik de brownpapersessie: één groot vel met een grote vlinderdas (de 'bowtie'). Iedereen krijgt een stift en twee kleuren post-its. Dan doorlopen we de volgende stappen.

  1. Ieder voor zich - Denk na over de ongewenste gebeurtenis en schrijf deze op en plak ze op de brownpaper.
  2. Plenair - Kies de (eerste) ongewenste gebeurtenis. De overige post-its blijven hangen. Alle input van deze sessie is zinvol. De niet behandelde post-its bewaren we voor een volgende keer.
  3. Ieder voor zich - Denk na over aanleidingen die tot de ongewenste gebeurtenis kunnen leiden en plak deze op de juiste plaats.
  4. Plenair - Bespreken van de opgeplakte aanleidingen, groeperen waar relevant en eventueel nog aanvullingen erbij plakken.
  5. Ieder voor zich - per aanleiding maatregelen bedenken en opschrijven van maatregelen die preventief en detectief mogelijk zijn (plak deze tussen de aanleiding en gebeurtenis).
  6. Plenair -  Bespreken van de geplakte maatregelen, groeperen waar relevant clusteren en eventueel nog aanvullingen erbij plakken.
  7. Ieder voor zich - Denk na over gevolgen die uit de ongewenste gebeurtenis kunnen voortkomen en plak deze op de juiste plaats.
  8. Plenair -Bespreken van de opgeplakte gevolgen, groeperen waar relevant en eventueel nog aanvullingen erbij plakken.
  9. Ieder voor zich - per gevolg bedenken en opschrijven van maatregelen die correctief en repressief mogelijk zijn (plak deze tussen de aanleiding en gebeurtenis).
  10. Plenair - Bespreken van de geplakte maatregelen, groeperen waar relevant en eventueel nog aanvullingen erbij plakken. 

Aandachtspunten bij iedere stap

  • De dialoog is de magie. Éen gebeurtenis uitkauwen en doorlopen is waardevoller dan drie gebeurtenissen erdoorheen jagen. Zo krijg je beter overzicht en inzicht in de risico’s die écht spelen en hoe iedereen zicht hierbij voelt. Daarbij creëer je juist hiermee onderling begrip en draagvlak. Maar vooral ook inzicht in de methodiek. Het gaat om de kwaliteit van de sessies.
  • Zorg dat alle deelnemers ruimte krijgen, laat je sessie niet kapen door één deelnemer.
  • Zorg naast een sfeer voor denken in risico's dat ook de oplossingen op tafel blijven komen. Soms blijven risico’s zich opstapelen en verliezen mensen het overzicht dat het ook nog te beheersen is, als begeleider van een sessie heb je hier een verantwoordelijkheid in.

Uitwerking en vertaling

De uitwerking en vertaling naar de gewenste risicomanagementstructuur neem ik bij klanten vaak voor mijn rekening. Maar eigenlijk is dit typisch iets dat bij een specialistische medewerker op het gebied van risicomanagement hoort. Afhankelijk van de beschikbare sjablonen en/of de wensen bij de organisatie, werk ik de sessie uit en creëer een overzicht van de risico's, (getroffen en te treffen) maatregelen en restrisico's. 

De meeste toegevoegde waarde is niet de uitwerking maar de sessie zelf. Daardoor ontstaat het besef dat er échte risico's zijn, waar je doorgaans goed werkbare maatregelen op kan treffen.

… En dan?

Dan begint het pas. Je hebt nu een mooi voorbeeld van hoe goed risicomanagement kan werken. Hiermee kun je de rest van de organisatie in beweging krijgen. Het volledig werkend krijgen van het gehele systeem van risicomanagement duurt waarschijnlijk nog een hele poos. Laat dat je niet afschrikken en pak vanaf deze eerste stap "risicomanagement, bowties en brown papers" gewoon door.

Tips voor het vervolg

  • Doe een BowTie-sessie met het directieteam (of alternatief in jouw organisatie).
  • Laat de risico-inventarisatie- en risicowegingsmethodiek vaststellen.
  • Definieer de risk-appetite: welke risico’s is de organisatie bereid om te accepteren?
  • Maak een laagdrempelige managementcyclus (richt een risicodashboard in met de hoogste risico's en te treffen maatregelen, spreek periodiek met risico-eigenaren over de risico’s, stuur bij waar vertraging is, stel risico's bij en voeg risico's toe naar aanleiding van ontwikkelingen in de organisatie en risicoworkshops die je uitvoert.)
  • Evalueer en verbeter het systeem, op de hier genoemde elementen, maar ook breder.
  • Na een beperkt aantal sessies heb je al flink overzicht in de risico’s (80% van de risico’s in 20% van de sessies). Volledigheid haal je niet, maar het is belangrijker om diverse organisatieonderdelen regelmatig mee te nemen.


Terug naar het overzicht