Geplaatst door Mijn eerste risicoanalyse deed ik in Excel. Gewoon beginnen met oorzaak-gebeurtenis- gevolg en kans en impact. Daarna labelen qua type risico’s of projectfase.
Het werkte prima en ik kon gemakkelijk de top risico’s rapporteren. Soms wel balen als de opdrachtgever een andere dwarsdoorsnede wilde maar met wat opnieuw labelen en wat schuiven van kolommen ging dat vrij snel.
Veel organisaties hebben hun risico’s nog vastgelegd in Excel. En dit is een zeer goede eerste stap. Door goed na te denken over een identificatie-structuur en een goed format kun je best snel meters maken. Ook het kopiëren is makkelijk.
Wil je een voorbeeld format of risicoanalyse in excel ontvangen van een gemeente, woningbouwcorporatie, onderwijsinstelling, bedrijf of project, dan kun je deze hier aanvragen.
Natuurlijk lukt het prima met een enkele risicoanalyse. Ook kun je risico formulieren bundelen uit verschillende organisatieonderdelen en daarmee een integraal risicoprofiel maken.
Van Excel naar iets anders…
Je bent gaan werken en denken in structuren door excel in te zetten. Maar je wilt de 1e lijn meer betrekken, de rapportages met een bepaalde frequentie delen, aansluiten op processen en acties uitzetten. En soms ook simulaties doen op vele variabelen en naar meerdere stakeholders rapporteren. Dan loop je tegen de grenzen van excel aan.
Een paar vragen die je dan jezelf zou moeten stellen:
- Hoe bewaak je overlap tussen alle GRC-elementen op de verschillende niveaus (strategisch, tactisch en operationeel)? En dan ook de koppelingen daartussen? En als je filtert op bijvoorbeeld ISMS zie je dan alle en alleen de gerelateerde elementen?
- Hoe organiseer je de autorisatie structuur? Wie mag wat zien, wie mag risico’s veranderen en nog belangrijker wie mag bepaalde risico’s juist niet zien? Een goede GRC omgeving levert de configuratie opties om dat wel te kunnen.
- Hoe organiseer je de aggregatie of consolidatie vanuit meerdere bronnen en personen data? Er komen meerdere versies in omloop van hetzelfde bestand en je probeert het centraal te houden op bijvoorbeeld Sharepoint. Maar er zijn toch altijd gebruikers die het even downloaden in plaats van uitchecken. Au, aan jou de taak om al die data weer te corrigeren, aggregeren en controleren.
- Hoe voorkom je fouten in formules en wie controleert jou? Als je één ding niet wilt is dat mensen twijfelen aan de correctheid van de data. Zeker niet de kwantitatieve data (cijfers, percentages) maar ook niet aan kwalitatieve data: “we hadden toch besloten dat de risicogevolg-categorie financieel een bandbreedte had van….” Bij complexe taken vooral in Excel gaat de foutmarge omhoog door menselijk fouten in bijvoorbeeld formules van 0,5% naar 5%.
- Hoe is de bescherming van je data georganiseerd? Wie heeft je data? Risicoprofielen bevatten vaak financiële informatie die niet op straat mag komen te liggen. Informatiebeveiliging is niet alleen een norm waar je aan wilt voldoen, je wil ook dat de tool die gebruikt daar aan kan voldoen. Met Excel loop je het risico dat op een data-lek waar een GRC tool en de GRC leverancier daar voor waakt. Niet alle GRC leveranciers zijn zelf bijvoorbeeld ISO 27001 gecertificeerd maar wij zijn dat zeker. En bewust.
Investeren in GRC software
Bovenstaande vragen zorgen er voor dat organisaties steeds meer investeren in software.
In onderzoeken zie je dan ook dat steeds meer bedrijven met GRC software aan de slag gaat. 57% snelgroeiende bedrijven heeft GRC binnen 3 jaar volledig geautomatiseerd. En natuurlijk gaat het niet alleen om software maar om de combinatie van People, proces en software.
Als risicomanager moet je wel zorgen dat je voldoende mandaad en budget hebt om een dergelijk traject in te gaan. Maar goed; als risicomanager moet je wel durven risico’s te nemen.
Robert 't Hart 