In stap 5 hebben we het risicomanagement framework opgetuigd en ingezet. Nu zijn we aanbeland bij de vraag waar we nog wat nader ingaan op de grootste bedreigingen en de restrisico’s. Daarmee kunnen we vraag 7 beantwoorden.
De zevende vraag die we moeten stellen is:
Is inzichtelijk welke risico’s de continuïteit van de organisatie kunnen bedreigen en zijn er eventueel restrisico’s door het topmanagement geaccepteerd?
En het antwoord? Ja, nee of weten we het eigenlijk niet?
Het lijkt misschien logisch dat we zoveel mogelijk risico’s af willen dekken omdat dat ons nu eenmaal een lekkerder gevoel geeft, een gevoel van schijnveiligheid overigens in veel gevallen. Toch moeten we kijken naar het risicogedrag van de onderneming. Zijn we nu juist meer risicomijdend, risicodragend of toch risiconeutraal? Dat leiden we af uit de totale strategie van de organisatie en laten dat bekrachtigen door het hoogste management. We moeten daarbij overigens niet vergeten dat per business unit of per proces een andere risicostrategie gehanteerd kan worden.
Processen die bijvoorbeeld helemaal niet zo belangrijk zijn voor de organisatie kunnen een heel andere risicostrategie vereisen dan processen die bedrijfskritisch zijn. Zijn we er eenmaal uit welke risicostrategie het best past voor onze risicoanalyse dan kunnen we de beheersingsmaatregelen daar op aanpassen. De restrisico’s laten we dan bekrachtigden door het juiste managementniveau, die kan daar immers over besluiten. Wij, als beveiligingsadviseur, manager of weet ik veel hoe we ons noemen, kunnen dat niet. Nee, wij kunnen alleen maar ondersteuning verlenen en ze adviseren, maar de lijn blijft verantwoordelijk…maar goed, dat hadden we vorige week al gezien.
Risicoanalyse, risicomanagement en nu ook nog zicht op de grootste dreigingen waarbij we de restrisico’s laten accepteren op het juiste niveau. Op papier allemaal niet zo ingewikkeld, in de praktijk helaas een stuk weerbarstiger, maar we moeten de moed niet verliezen want we zijn al zover. Ver genoeg in ieder geval om naar vraag 8 te gaan.
Nogmaals, voor diegene onder jullie die echt niet 10 dagen willen wachten, je kunt de quickscan zelf ook al doorlopen door hier te klikken of door me snel uit te nodigen voor die bak koffie.