In een tijd van toenemende veiligheidsdreigingen – van cyberaanvallen tot extremistische netwerken – zijn organisaties gedwongen hun risicobeheer naar een hoger niveau te tillen. Risk-assessmentmethodieken bieden structuur bij het inventariseren van dreigingen en kwetsbaarheden en het treffen van beheersmaatregelen. Maar hoe effectief zijn deze methodieken nu eigenlijk? En belangrijker nog: werkt dezelfde methodiek even goed in zowel de private als de publieke sector?
Door Denise Botter / Beeld: Shutterstock
Risk assessment is het in kaart brengen van dreigingen, kwetsbaarheden en gevolgen. Dat is niet nieuw. Al in het Babylon van 1700 voor Christus deed men aan risicobeheersing door verzekeringen af te sluiten voor schepen. Inmiddels zijn risk assessments uitgegroeid tot systematische methodieken waarmee organisaties op basis van scenario-analyse, impactschattingen en beheersmaatregelen kunnen inspelen op potentiële dreigingen.
Hoewel deze methodieken hun oorsprong vinden in de private sector – waar risico’s vaak in financiële termen worden gemeten – passen publieke organisaties ze ook steeds vaker toe. Denk aan het ministerie van Justitie en Veiligheid of de Belastingdienst, waar fysieke en digitale dreigingen dagelijks worden gemonitord.
Conceptueel model van Hoekstra (2019)
Voor het beoordelen van de effectiviteit van risk-assessmentmethodieken is gebruik gemaakt van het conceptueel model van Hoekstra (2019). Zijn model is gebaseerd op de methodiek van de businesscase. Het conceptueel model kan als basis worden genomen om de effectiviteit van risk-assessmentmethodieken in kaart te brengen. Er wordt een tweedeling gemaakt tussen sturingsfuncties en de eigenschappen van het document. Hoekstra (2019) legt uit dat de sturingsfunctie zich kan uiten in een zwakke of sterke sturing (is een assessment ingebed in de besluitvorming?) en dat documenteigenschappen variëren van partieel tot holistisch gebruik (wordt de methodiek integraal toegepast?). Dit kan leiden tot succesfactoren, faalfactoren, contingentiefactoren of alternatieve methoden. Voor dit onderzoek ligt vanwege tijdgebrek de nadruk op de faal- en succesfactoren.
Succesfactoren en actoren
Bij het uitvoeren van een risk-assessmentmethodiek kunnen bepaalde factoren en actoren de effectiviteit van deze methodiek beïnvloeden. Het conceptueel model van Hoekstra (2019) toont het belang aan van het in kaart brengen van faalfactoren en succesfactoren om de effectiviteit van een risk assessment te verhogen. De factoren en actoren die de werkzaamheid van de methodiek kunnen beïnvloeden zijn subjectieve interpretatie, ervaring, training en expertise van een risicobeoordelaar, strategische veiligheidsdoelstelling, managementbetrokkenheid en stakeholders en medewerkers van een organisatie.
Volgens Tiemeijer, Thomas en Prast (2009) nemen mensen beslissingen op basis van gewoonten en ervaringen en hanteren zij vuistregels bij het maken van inschattingen. Zij benadrukken dat de mens zich snel laat leiden door gebeurtenissen uit het verleden die overeenkomsten vertonen met de huidige situatie. Bij het maken van een risk assessment wordt door Drake en Morse (1994) benadrukt dat het beoordelen van veiligheidsrisico’s een kwalitatief proces is waarbij perceptie, sensitiviteit, appreciatie, ervaring en intuïtie een rol spelen.
Structuur versus flexibiliteit
Uit mijn onderzoek blijkt een duidelijk verschil in aanpak en effectiviteit tussen beide sectoren. De private sector kenmerkt zich door toepassing van een eenduidige methodiek, die gebaseerd is op de actuele normen en richtlijnen, zoals ISO-normen of modellen als de Bowtie. Periodieke evaluaties, de strategische veiligheidsdoelstelling en managementbetrokkenheid zorgen bij de private sector voor een systematische aanpak.
De publieke sector daarentegen toont meer flexibiliteit. Risk assessments worden vaak ad hoc uitgevoerd, met minder vaste kaders en minder sturing vanuit het management. De risk-assessmentmethodiek wordt als instrument gezien, maar niet structureel ingebed in beleid of uitvoering. Deze verschillen zijn niet slechts organisatorisch van aard, maar ze hebben directe invloed op de effectiviteit van een risk-assessmentmethodiek en het risicobeheer van de organisatie.
> LEES OOK: Cybersecurity: weten wat telt, maakt je weerbaar
Succesfactoren onder de loep
Vijf factoren bleken doorslaggevend te zijn voor de effectiviteit van een risk assessment.
Betrokkenheid van het management
Ten eerste wordt betrokkenheid van het management door participanten gezien als succesfactor voor de effectiviteit van een risk assessment. Met de steun van het management wordt een risk assessment serieus genomen en worden beheersmaatregelen daadwerkelijk ingevoerd in de organisatie. In de private sector is het management een betrokken en actieve schakel in het proces en heeft veiligheid prioriteit. In de publieke sector geven meerdere risicobeoordelaars aan geen betrokkenheid te voelen van het management, waardoor veiligheid geen prioriteit heeft vanwege het budget en onwetendheid bij het management over veiligheidsrisico’s.
Rol stakeholders en medewerkers
Ten tweede worden stakeholders (extern) en medewerkers (intern) gezien als factoren die impact hebben op de effectiviteit van een risk assessment. Participanten geven aan dat het van belang is om stakeholders en medewerkers te betrekken bij het uitvoeren van een risk assessment, waarbij het belangrijk is medewerkers te betrekken van verschillende afdelingen binnen en buiten de organisatie. Participanten uit de private sector geven aan dat zij gebruik maken van informatie van externe stakeholders en ook van interne medewerkers. Toch geven enkele participanten werkzaam in de publieke sector, aan dat bij een risk assessment alleen interne medewerkers worden meegenomen. De eenzijdige kijk op de veiligheidsrisico’s binnen de organisatie kan de effectiviteit negatief beïnvloeden.
Veiligheid
Ten derde wordt veiligheid serieus genomen en met prioriteit aangemerkt door een organisatie als een risk assessment in de strategische veiligheidsdoelstelling of in het jaarplan is opgenomen. In de private sector geven participanten aan dat formele rapportages worden opgeleverd waarin veiligheidsrisico’s worden vermeld en beheersmaatregelen worden benoemd. Dit is echter niet duidelijk terug te zien in de publieke sector. Een aantal participanten geeft aan dat zij geen veiligheidsdoelstelling of jaarplan binnen hun organisatie hebben waarin een risk assessment kan worden opgenomen. Het niet hebben van een veiligheidsdoelstelling of jaarplan kan leiden tot het ondersneeuwen van veiligheidsrisico’s.
Tijd en middelen
Ten vierde geven participanten werkzaam in de private sector geen eenduidig antwoord op de vraag of zij voldoende tijd en middelen hebben. In de publieke sector wordt vastgesteld, door interviews, dat het merendeel van de risicobeoordelaars genoeg tijd en middelen hebben. Het hebben van voldoende tijd en middelen kan bijdragen aan de effectiviteit van een risk assessment, omdat deze dan grondiger uitgevoerd kan worden.
Eenduidige methodiek
Ten vijfde geven participanten werkzaam in de private sector aan dat zij gebruik maken van een eenduidige methodiek waarbij internationale normen, kaders en richtlijnen worden gehanteerd. Zij maken ook gebruik van een periodieke evaluatie, zodat de ingevoerde beheersmaatregelen getest kunnen worden. Daarentegen geven participanten werkzaam in de publieke sector aan vooral vanuit de losse pols te werken waarbij verschillende methodieken worden gehanteerd. Het gebruik van verschillende methodieken kan, volgens Hoekstra (2019), zorgen voor een partieel gebruik van de methodiek. Opvallend is dat de periodieke evaluatie bij de publieke sector niet vanzelfsprekend is. Concluderend bleken de private organisaties vaker in kwadrant IV te vallen (sterke sturing + holistisch gebruik), publieke organisaties kwamen vaker uit in kwadrant I of II (zwakke sturing + partieel gebruik).
Aanbevelingen voor de praktijk
- Veranker de risk-assessmentmethodiek in de strategische veiligheidsdoelstelling van de organisatie. Zonder top-down-borging blijven assessments vrijblijvend.
- Investeer in training en certificering van risicobeoordelaars. Subjectiviteit kan nooit uitgesloten worden, maar wel worden verminderd door scholing en intervisie.
- Pas methodieken aan aan de context van de publieke sector. Een-op-een overnemen van private modellen is risicovol.
- Integreer kwantitatieve én kwalitatieve methoden. Alleen een risicomatrix is niet voldoende. Kwalitatieve inzichten uit interviews, scenario-analyses en workshops verhogen het draagvlak en de diepgang.
Er is niet één methodiek
Conclusie: één methodiek is er niet. Risk-assessmentmethodieken zijn onmisbaar in het veiligheidslandschap. Maar de effectiviteit staat of valt met de context waarin ze worden toegepast. Waar de private sector vaart op meetbaarheid en sturing, moet de publieke sector leren omgaan met complexiteit, variatie en politieke sensitiviteit. Er is geen universele aanpak, maar wel universeel belang: veilige organisaties en veerkrachtige samenlevingen.
Profiel Denise Botter
Denise Botter is afgestudeerd aan de Vrije Universiteit van Amsterdam, master Bestuurskunde in de richting Besturen van Veiligheid.
Haar masterthesis over de effectiviteit van risk-assessmentmethodieken in publieke en private sectoren werd geschreven in samenwerking met het ministerie van Binnenlandse Zaken en Koninkrijkrelaties.
Zij focuste zich in haar onderzoek op de aspecten die bepalend zijn voor de effectiviteit van een risk-assessmentmethodiek voor veiligheidsrisico’s in zowel de private als publieke sector. Voor dit onderzoek interviewde Botter achttien professionals werkzaam in de private en publieke sector. Op basis van een combinatie van literatuuronderzoek, casusvergelijking en het evaluatiemodel van Hoekstra (2019), brengt zij in dit artikel de belangrijkste inzichten en aanbevelingen voor de praktijk samen.
Volg Security Management op LinkedIn
