Hoe voer je een IT risk & control proces in? En wat zijn de belangrijkste succesfactoren daarbij? In deze blog noem ik er een aantal uit mijn praktijk.

Maar allereerst, waarom zou een organisatie een IT risk en control proces moeten uitvoeren? Nou, om te beginnen omdat interne en externe stakeholders aan een IT organisatie vragen om aan te tonen dat de IT risico’s bekend zijn en beheerst worden. Dat wordt bereikt door de genoemde processen uit te voeren.

Maar daarnaast zorgt het IT risk & control proces voor een verbetering in kwaliteit en besluitvorming.

  • Verbeteren kwaliteit: uitvoering van het IT risk & control proces draagt bij aan de IT kwaliteit, want het proces levert verbetervoorstellen en aanbevelingen op. Voorbeelden hiervan zijn onvolkomenheden die zichtbaar gemaakt worden en vervolgens verbeterd worden, en processen die vastgelegd worden waardoor een organisatie van “kennis in mensen” naar “kennis in processen” gaat.
  • Verbeteren besluitvorming: Als IT risico’s inzichtelijk zijn, kunnen maatregelen genomen worden om deze te beheersen. Door middel van IT controls maken we de mate van beheersing van de risico’s expliciet en dit helpt om te kiezen waar verbeteringen eerst moeten worden doorgevoerd.

Maar invoering van een IT risk en control proces is nog niet zo eenvoudig. Medewerkers zien het als een bedreiging, of de risk en control processen verzanden in spreadsheets en er verandert niets in de organisatie. En dat is zonde van alle energie!

Op basis van mijn ervaringen bij het invoeren van IT risk en control processen heb ik een lijst met succesfactoren opgesteld die een organisatie helpen om IT risk en processen in te voeren in een organisatie. Hieronder licht ik de belangrijkste toe.

• Just do it!
De eerste tip is eenvoudig te hanteren: begin gewoon. Start meteen met de eerste risk workshops en leg de risicio’s vast in het risk register. Start met het beschrijven van de eerste controls, het uitvoeren daarvan, en het rapporteren over het resultaat. Wellicht ten overvloede, wat je dus niet moet doen is: wachten op geautomatiseerde tooling, op formele processen, tot alles compleet is, er overeenstemming is over definities, tot de governance ingericht is … want dan zul je nooit beginnen.

• Werk met visualisaties
Spreadsheets met risk registers, documenten met beschrijvingen van controls, allemaal lastig leesbaar en dodelijk saai. Mijn ervaring is dat visualiseren van risico’s in bijvoorbeeld taartdiagrammen, mensen aanzet tot discussie en het onderwerp daardoor meer gaat leven. Ook controls bespreken aan de hand van een tekening (gewoon handgemaakt) werkt vele malen beter dan de exacte beschrijving in een document.

• Gebruik een control framework
Controls kun je invoeren naar aanleiding van geconstateerde specifieke risico’s. Dat leidt in het algemeen tot (te) veel controls en een langdurig implementatietraject. In mijn ervaring is het beter om controls in te voeren ongeacht de geconstateerde risico’s. We weten namelijk toch wel welke IT risico’s een organisatie loopt, en wat de voor de hand liggende IT controls daarbij zijn. Dat werkt sneller en is effectiever! Baseer je hierbij bijvoorbeeld op frameworks als Cobit en ISO27001.

• Zorg voor cadans
Door kleine stapjes te zetten worden resultaten snel zichtbaar, en door cadans in je project beklijven de resultaten. Juist de invoering van controls leent zich bij uitstek voor een dergelijke aanpak. Ik voerde een project uit waarbij elk kwartaal een set met controls werd ontworpen, die het volgende kwartaal werden uitgevoerd. In dat kwartaal werd ook weer de volgende set met controls ontworpen. Zo breidden de controls steeds verder uit en sleet het proces in de lijnorganisatie in.

• Presenteer op dashboards
Met behulp van een dashboard maak je niet alleen in één oogopslag inzichtelijk wat de status is van risico’s en controls in de IT domeinen, het zet impliciet ook aan tot actie. Niemand wil toch “rood” in een dashboard? Dashboards laten ook de voortgang laten zien in de resultaten van controls, en tonen waar nog verbeteringen doorgevoerd kunnen worden.

• Focus op verbetering
Focus in je project op de behaalde resultaten, dat zijn controls die een positief resultaat geven, en op de gerealiseerde verbeteringen naar aanleiding van uitgevoerde controls. Dus leg geen nadruk op wat nog niet goed gaat, hetgeen een serieus risico is als je bezig bent met uitvoeren van controls. Medewerkers worden vooral gemotiveerd om door te gaan met controls als de verbeteringen zichtbaar worden!

Marinus Spaan

Spaan Project Services