Veel managers nemen risicomanagement tegenwoordig behoorlijk serieus. De afgelopen periode zijn er voldoende voorbeelden van bedrijven die geraakt zijn door onheil op het gebied van risicomanagement. En daardoor waarde en reputatie verloren, of erger nog, daar zelfs aan ten onder zijn gegaan. In de huidige crisis zijn er gelukkig steeds meer en betere risico beheersingsprocessen en toezichtstructuren om bijtijds fraude, veiligheidsproblemen en operationele fouten te kunnen signaleren, voordat deze door ontwikkelen tot een heuse ramp.
De juiste processen en toezicht zijn essentieel, maar dan?
Processen en toezicht zijn, hoewel essentieel, toch maar een deel van het verhaal. De risico cultuur binnen een organisatie bepaalt op welke manier beslissingen op dagelijkse basis worden genomen. Ook kleine beslissingen kunnen verstrekkende gevolgen hebben. Vooral in de informatiebeveiliging hebben we dat kunnen zien. Wanneer er geen management is op de houding en gedrag van personeel in de frontlinie, en in de manier waarmee men omgaat met risico's, kan er gemakkelijk een crisis ontstaan. Een goed ontwikkelde risico cultuur betekent overigens niet noodzakelijkerwijs, dat er minder risico genomen wordt. Misschien kun je eerder stellen dat een niet effectieve cultuur tot te weinig of geen initiatief leidt. Weinig initiatief lijkt namelijk risicomijdend maar is dat veelal niet.
Vertrouwen is noodzaak
Betekent een goed risicoprogramma dan, dat je je veilig kunt wanen tegen onvoorziene gebeurtenissen, of tegen domme acties? Natuurlijk niet! Maar het is wel mogelijk om een cultuur te creëren waardoor het domweg moeilijker is om geraakt te worden, zodat een eventuele aanvaller liever een ander doelwit zoekt. De meest effectieve (informatie)risicomanagers die ik de afgelopen jaren ontmoet heb, zijn allen in staat om zo’n cultuur vorm te geven. Ze hebben binnen hun organisatie een cultuur gecreëerd, waar een signaal snel opgepikt wordt. Dit geeft hen ruimte om zaken snel op het juiste niveau geadresseerd te krijgen. Om vervolgens direct toegang te krijgen tot de goede experts die hen kunnen helpen met het oplossen of voorkomen van zo’n crisis. Hierdoor worden risico’s snel erkend en serieus genomen. Daarnaast is er een grote mate van vertrouwen nodig om die risico’s te kunnen bespreken en oplossingen aan te dragen. Om daarna controles in te bouwen, die iedereen zal respecteren en naleven.
Een actief beheer van risico's
Het erkennen van risico's is niet vanzelfsprekend. Dit geldt voor zowel de interne organisatie als de externe partijen zoals toezichthouders en partners. Men moet kunnen vertrouwen op de organisatie, om problemen die gesignaleerd worden op te kunnen lossen. Het contrast tussen bedrijven die risico's erkennen en zij die dat niet doen is schril. Ook in de informatiebeveiliging. Ik breek daarom graag een lans voor een actief beheer van risico's. Dit kan door gezamenlijk alert te blijven en (criminele)trends te signaleren en die, waar mogelijk voor te blijven.
Kennen, herkennen & erkennen
Wat je kent, herkent en erkent, hoe erg ook, kun je managen. Ken je het risico nog niet, dan kun je in ieder geval in kwalitatieve termen bespreken wat er aan de hand is. Bedrijven die zo opereren, kunnen over het algemeen op meer krediet bij aandeelhouders, klanten en toezichthouders rekenen. Dit in tegenstelling tot die organisaties die zich richten op compliance als doel op zich. De ‘tick in the box’, een persoon die is voorbereid om te wachten op een reprimande alvorens in actie te komen. Deze organisaties zijn vaak bang om te weten wat ze nog niet weten en hopen dat de storm vanzelf gaat liggen. Het behoeft geen betoog, dat juist dit soort organisaties extra kwetsbaar zijn voor informatie beveiliging risico's. Werk daarom aan een cultuur, die risico’s kent, herkent en erkent. Want ook in deze strijd geldt: een goede voorbereiding is het halve werk!