Iedere manager een risicomanager

Het themadeel van het maart-nummer van Informatie (jaargang 53, nr. 2) gaat over de vraag hoe goed de IT eigenlijk is: IT-audit & IT-assurance. Het risicomanagement rondom IT. Nu wil het geval dat ik juist deze week bezig ben met een update van de IT-paragraaf van een interne risico-analyse. En omdat IT steeds belangrijker wordt voor organisaties, is een goede en actuele risico-analyse van onmiskenbaar belang. Enkele voorbeelden van risico's:

• Ondeskundig gebruik en beheer van IT-voorzieningen, waardoor fouten, inefficiëntie en gemiste kansen kunnen optreden.
• Doelgerichte bedreigingen van de beschikbaarheid, integriteit en vertrouwelijkheid van de informatievoorziening, zowel van binnen als van buiten de organisatie.
• Ondeskundige projectvoering waardoor de IT onvoldoende aansluit op de gewenste informatievoorziening c.q. ondersteuning van bedrijfsprocessen.

Daar komt nog bij dat bij het gebruik van IT vaak verschillende partijen betrokken zijn (internet provider, leveranciers van hardware en software, implementatiepartners e.d.), zowel intern als extern, waardoor onderling goede afspraken nodig zijn over preventieve en reactieve aspecten van de dienstverlening. Is iedereen in de keten wel 'in control'? In de keten van alle betrokkenen zou iedere 'manager' ook de rol van 'risicomanager' moeten oppakken, of het nu IT betreft of niet. En dan blijkt dat de risico's misschien wel meer aan de menselijke kant dan aan de IT-kant liggen. Zie bovenstaande voorbeelden.