Stap 1: Breng je risico's in kaart

Vanuit meerdere perspectieven wil je jouw risico's in kaart brengen tijdens het implementeren van normen zoals de ISO 27001 en NEN 7510. Denk aan belanghebbenden, maar je kunt ook doelstellingen en bedrijfsprocessen van je organisatie onder de loep nemen. Soms is het moeilijk om deze risico's direct zichtbaar te maken. Een methode om meer input te krijgen in je risico's is het zogenoemde Nominal Group Technique (NGT). NGT is een soort brainstormsessie waarin  je iedereen individueel risico's laat opschrijven. Vervolgens worden alle risico's in een lijst opgenomen en bespreek en rangschik je deze gezamenlijk. Dit zorgt voor meer input dan een traditionele brainstorm en voorkomt dat 'sterk aanwezige' medewerkers enkel het woord voeren. Verder is het cruciaal dat je hier de tijd voor neemt om zo nog meer awareness te creëren binnen je organisatie.

‍

Stap 2: Stel beoordelingscriteria op basis van de risico's

Nadat je de risico's in kaart hebt gebracht, is het van belang dat je beoordelingscriteria opstelt voor de gevonden risico's. Vragen als:

• Hoe urgent is een risico?
• En welke criteria hang je daar aan?
• Op basis van impact of frequentie?

Vaak worden impact (Groot, middel en klein) en frequentie (continu, dagelijks, wekelijks etc.) gebruikt, maar schroom vooral niet om eigen criteria toe te voegen.

‍

Stap 3: Stel een behandelprocedure op tegen de opgestelde risico's

Na het opstellen van beoordelingscriteria dien je als organisatie een behandelprocedure in te zetten als onderdeel van je risicoanalyse. Een behandelprocedure kan gezien worden als een soort interventie voor het behandelen van de risico's binnen je organisatie. Hierin worden maatregelen geschreven die bepalen wie, wat en wanneer doet ten aanzien van de risico's. Dit is belangrijk om eigenaarschap te stimuleren.

Bedenk je: als iedereen verantwoordelijk is, is niemand verantwoordelijk. Verder zorgt dit ervoor dat je geen risico's over het hoofd ziet en weet hoe je deze moet aanpakken.

‍

Stap 4: Blijf kritisch op jouw risicoanalyse!

Ten slotte is het belangrijk om (zoals altijd) kritisch te blijven. Het is aangeraden om vaste momenten te plannen waarin nagedacht kan worden over het functioneren van de risicoanalyse en bijbehorende procedures. Dit zorgt voor een pragmatische en effectieve aanpak van de risicoanalyse.

‍

Kortom

Kortom, de risicoanalyse is een belangrijk onderdeel van ISO normen. Het komt in elke norm naar voren en het kan een fundamenteel onderdeel van je bedrijfsvoering zijn. Zeker in turbulente en radicale tijden. Soms moet je als organisatie het roer omgooien, maar dit moet wel op een verantwoorde manier gebeuren om bewustzijn te creëren binnen de organisatie. Als je niet blijft kijken naar de obstakels en gevaren kan dit cruciale gevolgen hebben voor je business continuïteit. Dus al met al, blijf alert en analyseer altijd je risico's om zo bewust te zijn van wat er om je heen gebeurt als organisatie. Zo ben je eventueel gevaar altijd een stapje voor, voorkomen is immers beter dan genezen!