Step 1: Identify your risks.
Vanuit meerdere perspectieven wil je jouw risico's in kaart brengen tijdens het implementeren van normen zoals de ISO 27001 en NEN 7510. Denk aan belanghebbenden, maar je kunt ook doelstellingen en bedrijfsprocessen van je organisatie onder de loep nemen. Soms is het moeilijk om deze risico's direct zichtbaar te maken. Een methode om meer input te krijgen in je risico's is het zogenoemde Nominal Group Technique (NGT). NGT is een soort brainstormsessie waarin je iedereen individueel risico's laat opschrijven. Vervolgens worden alle risico's in een lijst opgenomen en bespreek en rangschik je deze gezamenlijk. Dit zorgt voor meer input dan een traditionele brainstorm en voorkomt dat 'sterk aanwezige' medewerkers enkel het woord voeren. Verder is het cruciaal dat je hier de tijd voor neemt om zo nog meer awareness te creëren binnen je organisatie.
Step 2: Set assessment criteria based on the risks
After you have identified the risks, it is important to establish assessment criteria for the risks found. Questions such as:
- How urgent is a risk?
- And what criteria do you attach to that?
- Based on impact or frequency?
Impact (Large, medium and small) and frequency (continuous, daily, weekly, etc.) are often used, but don't hesitate to add your own criteria.
Step 3: Establish a treatment procedure against the established risks
After establishing assessment criteria, you, as an organization, should implement a treatment procedure as part of your risk analysis. A handling procedure can be seen as a kind of intervention for handling the risks within your organization. In it, measures are written that determine who, what and when to do regarding the risks. This is important to encourage ownership.
Remember: if everyone is responsible, no one is responsible. Furthermore, this ensures that you do not overlook risks and know how to address them.
Stap 4: Blijf kritisch op jouw risicoanalyse!
Ten slotte is het belangrijk om (zoals altijd) kritisch te blijven. Het is aangeraden om vaste momenten te plannen waarin nagedacht kan worden over het functioneren van de risicoanalyse en bijbehorende procedures. Dit zorgt voor een pragmatische en effectieve aanpak van de risicoanalyse.
Kortom, de risicoanalyse is een belangrijk onderdeel van ISO normen. Het komt in elke norm naar voren en het kan een fundamenteel onderdeel van je bedrijfsvoering zijn. Zeker in turbulente en radicale tijden. Soms moet je als organisatie het roer omgooien, maar dit moet wel op een verantwoorde manier gebeuren om bewustzijn te creëren binnen de organisatie. Als je niet blijft kijken naar de obstakels en gevaren kan dit cruciale gevolgen hebben voor je business continuïteit. Dus al met al, blijf alert en analyseer altijd je risico's om zo bewust te zijn van wat er om je heen gebeurt als organisatie. Zo ben je eventueel gevaar altijd een stapje voor, voorkomen is immers beter dan genezen!
