Renze Munnik: Maar brutorisico’s hebben toch geen nut?
Renze Munnik: Maar brutorisico’s hebben toch geen nut?
Door Renze Munnik, Risk Management Consultant bij Probability & Partners
In theorie begint iedere risicomanager met het inschatten van het brutorisico. In de praktijk staan het nut en de noodzaak van deze eerste stap echter steeds meer ter discussie. Toch is het onverstandig om het kind met het badwater weg te gooien.
De theorie
De theorie stelt dat je als risicomanager eerst een inschatting moet maken van het risico in een situatie waarin (nog) geen beheersmaatregelen zijn getroffen en pas daarna de reeds getroffen beheersmaatregelen in beschouwing neemt. Het risico in een situatie zonder beheersmaatregelen wordt ook wel ‘brutorisico’ genoemd.
Waarom is het überhaupt nodig om een brutorisico in te schatten? Er zijn toch al beheersmaatregelen? Het inschatten van het brutorisico dient enerzijds om te bepalen hoe groot de ellende kan zijn als die maatregelen niet werken en anderzijds om te achterhalen of er wellicht te veel maatregelen zijn genomen. In dat geval zou het nettorisico lager worden dan nodig en worden de kosten van de beheersing te hoog.
De praktijk
In de praktijk zie ik steeds meer discussie over de vraag of de inschatting van brutorisico’s wel nut heeft. Men is steeds meer geneigd om de status quo (dus het nettorisico) het brutorisico te noemen en de gewenste situatie (dus met additionele maatregelen) het nettorisico. En daar valt wat voor te zeggen. Je hebt al wat er nu is en je moet vooral je aandacht besteden aan de stappen die je nog wilt zetten om te verbeteren. En dan wil je geen tijd verspillen aan nadenken over een situatie die toch niet aan de orde is.
Het brutorisico
Bij het bepalen van het brutorisico is er altijd de discussie over wat er precies bedoeld wordt met een ‘situatie zonder beheersing’. Is er dan helemaal geen sprake van beheersing, of van een beetje beheersing? En wat is dan dat beetje? Soms is het niet realistisch om ervan uit te gaan dat er helemaal geen beheersing is. En in sommige gevallen wel. En soms lijkt het niet realistisch, maar is het dat misschien wel.
Een huis heeft een voordeur. Het is niet realistisch om ervan uit te gaan dat er geen voordeur is. Dus als we naar het risico van een inbraak kijken, gaan we er bruto wel vanuit dat er een voordeur is. En wellicht ook wel een slot. Want een huis zonder een slot op de voordeur is niet realistisch. Daarover denken is zonde van je tijd. Waar gaat het dan wel om? Wat zijn dan de maatregelen tussen bruto en netto? Nou bijvoorbeeld dievenklauwen, een extra sterk slot, een alarmsysteem, een waakhond, et cetera.
Een praktijkvoorbeeld
Maar in werkelijkheid blijkt het soms toch anders te zijn.
Ik heb bij een organisatie gezien dat de authenticatie van het systeem niet werkte. De server die de gebruiker moest authentiseren (wie ben je?) werkte niet. Dan kan niemand meer inloggen. En dus kun je niet werken. Oplossing: schakel die authenticatie maar uit. Zodra de server weer hersteld is, zetten we de controle weer aan.
Dat kun je vergelijken met wanneer het slot van je voordeur dicht zit. Je krijgt je sleutel niet meer in het slot. Je kunt niet meer naar binnen. Oplossing? De voordeur eruit. Zodra het slot gerepareerd is, zetten we de deur er wel weer in.
En in de tussentijd? In de tussentijd kan iedereen gewoon naar binnenlopen.
En ga er niet zomaar vanuit dat dit bij jouw organisatie niet gebeurt. Dit soort situaties doen zich echt voor.
Awareness
Los van de technische kant van zo’n situatie gaat het om awareness. Het systeem kan eens een probleem hebben. Maar hoe ga je daar als mens mee om? Mensen moeten zich bewust zijn van wat ze doen en wat ze kunnen of mogen doen.
Dus moet je mensen ervan bewust maken dat ze niet zomaar de beveiliging uit mogen zetten omdat dat handiger werken is.
Maar het zijn volwassen mensen. Als je ze vertelt dat ze dat niet mogen doen, moet je toch ook een valide reden geven. En dat is niet ‘omdat ik het zeg’, of ‘daarom’. Nee, de uitleg is: ‘Omdat anders mensen naar binnen kunnen die daar niet horen te zijn. En die mensen kunnen gegevens wijzigen of stelen, en ze kunnen virussen en (andere) malware installeren die later de gegevens corrumperen, doorsluizen en blokkeren (ransomware).’
Je legt dus uit wat de situatie is als er geen beveiliging is. Je legt uit wat er kan gebeuren zonder beheersing. Met andere woorden, je vertelt wat het brutorisico is.
Als je niet weet wat het brutorisico is, wat ga je je collega’s, medewerkers en uitbestedingspartijen dán vertellen? Deze maatregelen moeten er zijn ‘omdat wij dat vinden’, ‘omdat ze er altijd waren’, ‘omdat iedereen ze heeft’, ‘omdat dat nou eenmaal logisch is’?
Toch maar wat aandacht
Het is dus niet zo vreemd om af en toe stil te staan bij brutorisico's.
En uiteraard begrijp ik dat gezien een status quo de meeste aandacht uitgaat naar het nettorisico en (vooral) naar de stap naar het gewenste risiconiveau. Je wilt immers niet in oeverloze discussies terecht komen over een beoordeling van het brutorisico achter de komma. Maar je moet je wel goed bewust zijn van de reden waarom je de maatregelen hebt genomen. De collega’s, medewerkers en uitbestedingspartijen moeten zich daar ook van bewust zijn. Alleen dan kun je van ze verwachten dat zij de juiste keuzes maken als een bepaalde situatie zich voordoet.
Probability & Partners is een Risk Advisory Firm die geïntegreerde risicomanagement- en kwantitatieve modelleringsoplossingen biedt aan de financiële sector en aan data-gedreven ondernemingen.