Risicomanagement in Coronatijden
Door de huidige coronacrisis (een extern risico) zien wij de afgelopen weken een toenemende focus op de risicomanagement functie binnen organisaties. Het aantal risk-assessments neemt toe. En daarnaast zien we ook een forse toenemende focus op de informatiesecurity risico’s.
Dit is goed te verklaren. De coronacrisis is een dusdanig groot extern risico dat de bedrijfscontinuïteit van veel organisaties in gevaar komt. Veel organisaties maken zich zorgen. Uit de eerste peilingen blijkt dat zeker de helft van de overheidsorganisatie verwacht in de financiële problemen te komen of dat de corona-crisis minimaal een zeer zware financiële impact zal hebben.
Aantoonbaar in-control zijn
Waar organisaties vaak denken in kansen, wordt nu gevraagd ook structureel na te denken over de bedreigingen en risico’s. Vaak wordt het risicomanagement van een organisatie nog vluchtig in Excel of PowerPoint vastgelegd. Het doel heiligt de middelen, maar dit zorgt vaak wel dat dit soort risk-assessments eenmalige exercities zijn. Maar in deze turbulente tijden is het juist belangrijk dat de risico ontwikkeling over tijd, structureel en vooral ook het aantoonbaar in-control zijn gemanaged wordt. De huidige risico’s ontwikkelen zich op dit moment in sneltreinvaart. Er zijn voortdurend externe prikkels en ontwikkelingen die deze snelle ontwikkeling extra aanjagen.
Een voorbeeld: In het begin van de coronacrisis zaten de informatiesecurity risico’s bijvoorbeeld vooral op de beschikbaarheid van het bedrijfsnetwerk en bijbehorende applicaties voor medewerkers die vanuit huis moeten kunnen werken.
Nu dit in veel gevallen geregeld is, verschuiven de cybersecurity risico’s in een tijdsperiode van slechts twee weken naar de uitdagingen die thuiswerkende medewerkers met zich meebrengen met betrekking tot phishing, cybercrime en de continuïteit van de thuiswerkverbinding. Daarnaast hebben we te maken met voortdurende nieuwe richtlijnen vanuit de rijksoverheid en het RIVM waar u met uw business op zult moeten inspelen.
Praktische tips
Dit alles vraagt om een continue risicomanagementdialoog, waarbij u:
- eenduidig de actuele risico’s, risicostatus en bijbehorende risicoanalyses (risk-assessment) centraal vastlegt;
- niet alleen focus heeft voor uw strategische risico’s, maar ook voor de operationele risico’s op de voor uw organisatie kritieke processen en in het bijzonder informatieveiligheidrisico’s;
- u voor ieder risico een risico-eigenaar benoemd zodat duidelijk is wie verantwoordelijk is;
- een risicoregister hebt waarin de dynamiek, historie en de beheersing van risico over tijd zichtbaar is, door middel van het benoemen en vaststellen van de effectiviteit van beheersmaatregelen en uit te voeren acties;
- u inzicht krijg in het totale risicoprofiel, de heat-map en de risk appetite van de totale organisatie;
- er een duidelijke overlegstructuur en eindverantwoordelijke is die het risicomanagement gesprek in uw organisatie faciliteert.
Nieuwsgierig naar hoe wij u kunnen helpen?
Wilt u meer informatie over hoe wij uw organisatie met ons Key Control Dashboard hierbij kunnen faciliteren? Neem dan contact op met Reind van Olst via rvanolst@keycontroldashboard.nl of vraag een webinar aan via info@keycontroldashboard.nl.