Normity

Risicomanagement is het proces van identificeren, beoordelen en beheersen van risico's die de doelstellingen van een organisatie kunnen beïnvloeden. Het omvat strategische, operationele, financiële en compliance-risico's. Voor informatiebeveiliging wordt risicomanagement uitgewerkt in normen als ISO 27005, MaPGooD en RAVIB.

Risicomanagement is het brede proces: identificatie, beoordeling, behandeling, monitoring en communicatie van risico's. Een risicoanalyse is één onderdeel daarvan — de analysefase waarin risico's worden geïdentificeerd en ingeschat. Risicomanagement is doorlopend; een risicoanalyse is een moment in de tijd.

De belangrijkste zijn ISO 31000 (generiek), ISO 27005 (informatiebeveiliging), COSO ERM (enterprise risk, vooral financieel/governance) en NIST 800-30 (cybersecurity, Amerikaans). Voor specifieke sectoren zijn er eigen invullingen zoals MaPGooD, RAVIB en RI&E.

Risicomanagement volgt de PDCA-cyclus: Plan (risicocontext, beoordeling, behandeling), Do (uitvoeren van maatregelen), Check (monitoring, KPI's, audits) en Act (bijsturen). Elke ISO-norm met risicomanagement-eisen verwacht deze cyclus in je organisatie.

De vier T's staan voor Treat (behandelen: maatregelen nemen), Tolerate (accepteren: risico bewust dragen), Transfer (overdragen: verzekeren, uitbesteden) en Terminate (vermijden: activiteit staken). Per geïdentificeerd risico kies je een strategie — vaak een combinatie. De keuze wordt vastgelegd in een risicoregister.

Een risicoregister is de centrale vastlegging van alle geïdentificeerde risico's binnen een organisatie, met impact, waarschijnlijkheid, eigenaar, gekozen behandeling en status. Het register is een levend document dat periodiek wordt herzien. In Normity koppel je risico's direct aan normen, maatregelen en processen.

Eindverantwoordelijkheid ligt altijd bij de directie — zij moet de risicobereidheid (risk appetite) bepalen en borgen. Operationele uitvoering kan via een risk officer, compliance officer, CISO of proceseigenaar. In kleine organisaties doet de directie het zelf; in grote organisaties is risicomanagement vaak een aparte functie onder CFO of COO.

Compliance richt zich op naleving van wet- en regelgeving; risicomanagement is breder en omvat ook operationele, strategische en financiële risico's. Non-compliance is één type risico. In de praktijk worden de twee steeds vaker geïntegreerd in een GRC-aanpak (Governance, Risk, Compliance).