Sluit de DUTO-risicobeoordeling af met een risicorapportage en een advies. Met de risicorapportage geef je inzicht aan het verantwoordelijk management in welke risico’s er bestaan, hoe ernstig deze zijn en hoe ze aangepakt kunnen worden. Maak daarbij duidelijk dat het management voor de vervolgstappen verantwoordelijk is.
Neem in de risicorapportage minimaal het volgende op:
- het onderwerp van de risicobeoordeling (stap 1);
- een beschrijving van het onderzoeksproces inclusief vooronderzoek (stap 2), betrokken collega’s (stap 3) en gespreksverslagen (stap 4);
- concrete beschrijving van risico’s (stap 5);
- aanbevelingen voor mogelijke oplossingen met prioritering (stap 6).
Let op: Plaats in de rapportage de nadruk op de risico’s die jij hebt geconstateerd op basis van het gesprek. Focus niet op de antwoorden op de ja-/nee-vragen uit de vragenlijst. Die antwoorden creëren al snel een vals gevoel van veiligheid. Als bijvoorbeeld 10 van de 12 vragen met een ‘ja’ worden beantwoord, dan is 83% positief beantwoord. Dat roept bij een proceseigenaar geen gevoel van urgentie op. Terwijl achter de vragen die met een ‘nee’ zijn beantwoord ernstige risico’s verscholen kunnen gaan. Bij vragen die aanvankelijk met een ‘ja’ worden beantwoord, kunnen de verdiepingsvragen aan het licht brengen dat ook daar nog risico’s weggenomen kunnen worden.
Tips:
- Maak voor zover mogelijk gebruik van een bestaand format voor een risicorapportage.
- Sluit aan bij bestaande analyses uit informatiebronnen zoals auditrapporten.
- Focus op kansen in plaats van negatieve uitkomsten. Zoals: ‘we kunnen geld besparen’ in plaats van ‘we zijn nu veel geld kwijt’.
Bespreek de risicorapportage
Leg de risicorapportage tot slot in een gesprek voor aan het verantwoordelijke management en andere betrokkenen. Zorg dat je scherp hebt wie de risico-eigenaar is. Het kan bijvoorbeeld gaan om een organisatiebreed risico dat onder de verantwoordelijkheid van de directie valt. Of om een applicatiespecifiek risico dat een actie vereist van de proceseigenaar. Maak dat onderscheid tussen organisatie- en procesgebonden risico’s ook duidelijk in de rapportage. Een proceseigenaar is niet verantwoordelijk voor organisatiebrede risico’s, al kan die misschien wel een rol spelen bij het bespreekbaar maken daarvan.
De risico-eigenaren besluiten uiteindelijk welke oplossingen uitgevoerd worden. Denk met de risico-eigenaren mee en toon begrip voor hun positie. Zo laat je zien dat je als informatieprofessional een serieuze gesprekspartner bent die begrijpt dat er keuzes gemaakt moeten worden.
Tip: In de module DUTO-risicobeoordeling en risicomanagement wordt de rol van het verantwoordelijk management verder beschreven.
De risico-eigenaren geven hun commentaar op de risicorapportage in de vorm van een managementreactie. Deze voeg je als apart hoofdstuk of bijlage toe aan de risicorapportage. De managementreactie neem je op in de overzichtstabel. Zo is duidelijk wat de vervolgstappen zijn waar het verantwoordelijk management actief op kan sturen.