Effectief risico’s identificeren
(Te) Veel organisaties weten niet goed, hoe ze de voor hen belangrijkste risico’s moeten bepalen en wegen. De Information Systems Audit and Control Association helpt met theorie en praktische tips.
In de tweewekelijkse nieuwsbrief van ISACA geeft expert Lisa Young enkele tips, hoe je te werk moet gaan als je de belangrijkste risico’s voor je organisatie inventariseert en prioriteert.
Veel organisaties hebben wel een lijstje, maar vaak kan niemand uitleggen en beargumenteren hoe en waarom die lijst op die manier tot stand is gekomen. Niet zelden is het enige argument: “Die lijst? Die is het resultaat van eerdere audits!” Of anders vormt dat lijstje het antwoord op compliancy-eisen – in plaats van dat de risico’s intrinsiek onderdeel uitmaken van de strategische planning.
Youngs tips samengevat:
- Risico’s moeten geïdentificeerd worden in termen van de bedrijfsdoelstellingen, gebruik makend van dezelfde taxonomie.
- Operationele risico’s spelen in de frontlinie van de organisatie, waar product of dienst de klant tegenkomt. Voortdurende monitoring van die interface levert vaak onverwacht niet-verrassende inzichten.
- Bij de implementatie van elke nieuwe beheersmaatregel, procedure of proces moet standaard de vraag beantwoord zijn: “welk risico wordt hiermee gemitigeerd of geraakt?”
- Er zijn geen standaard lijstjes. Elke organisatie, markt en activiteit kent eigen specifieke risico’s. Conmtext is altijd van belang.
- Wanneer een bepaald risico gematerialiseerd is ( bijvoorbeeld een cyber-attack of sabotage) moet er een ex post onderzoek komen of er daarvóór signalen waren, wat daar al dan niet mee gedaan is en of de procedures aangepast dienen te worden.
- Voorzichtigheid is de moeder van de porseleinkast. Elke voorkomen ramp levert een positieve bijdrage aan resultaat en reputatie.