Risk Management omvat de processen voor identificatie, beoordeling en prioritering van risico’s. Ook gaat het om het selecteren, implementeren en bewaken van de maatregelen om de risico’s te reduceren tot een voor de belanghebbenden aanvaardbaar niveau. Een risico is de kans dat een bedreiging een kwetsbaarheid misbruikt en daarmee het halen van de organisatiedoelstelling negatief beïnvloedt.

Een belangrijk onderdeel van risk management is de risico analyse. Door de bedreigingen vroegtijdig te onderkennen, voor ze manifest worden, kunnen preventieve maatregelen genomen worden om de impact op de bedrijfsvoering te voorkomen of te beperken. Risico analyses worden steeds belangrijker, bijvoorbeeld omdat de wet- en regelgeving steeds meer vraagt of vereist (denk aan de nieuwe Europese privacy verordening). Ook hechten klanten en leveranciers er belang aan. Daarnaast ontstaan in de maatschappij steeds meer risico’s met steeds grotere potentiële schade.

Risk managers richten zich op het implementeren van de zogenoemde risk management cyclus. Dit is het periodiek doorlopen van de stappen: (1) risico’s identificeren, (2) risico’s beoordelen, (3) beheersmaatregelen in kaart brengen, (4) risico’s beheersen en risico’s monitoren en (5) rapporteren. SimpleRisk is open source enterprise risk management oplossing dat risk managers in staat stelt om de implementatie van deze stapsgewijze risk management cyclus te managen.

 

SimpleRisk

SimpleRisk is ontstaan in 2013. Josh Sokol was op zoek naar een oplossing voor het opstellen van een risk management programma binnen de organisatie waar hij werkzaam was. Hij kwam tot de conclusie dat de commerciële GRC-applicaties (Governance, Risk and Compliance) met een voor zijn organisatie onrealistische prijskaartje vergezeld gingen en besloot zelf een eenvoudige oplossing te realiseren. Dit is vervolgens uitgegroeid tot SimpleRisk.

SimpleRisk is geschreven in PHP en is beschikbaar onder de open source Mozilla Public License, version 2.0. Wij installeerden SimpleRisk op een Debian Jessie systeem, met de Apache2 webserver en de MariaDB database server. Het is eenvoudig om op een eigen server te installeren, maar wie liever een hosted versie heeft, kan voor een gehoste versie opteren.

 

Extra’s

De ontwikkelaars van SimpleRisk moeten ook eten en daarom bestaan naast de open source applicatie een aantal “extra’s”, die tegen betaling te gebruiken zijn. Zo is bijvoorbeeld SAML authenticatie en het gebruik van Active Directory een betaalde extra. SimpleRisk werkt met teams. Gebruikers zijn lid van één of meer teams. Verder heeft elke gebruiker één of meer rollen. In SimpleRisk heten dit “User Responsibilities”. Ongeacht in welk team je zit, je krijgt alle gegevens in het systeem te zien. Er is een betaalde extra beschikbaar, waarmee toegang tot gegevens te beperken is tot alleen de teamleden.

 

Risico management

In SimpleRisk wordt de risk management cyclus in herkenbare stappen doorgevoerd. Het risico management in SimpleRisk start met het invoeren en documenteren van de risico’s. Je vult zaken in, zoals de kans dat het risico zich voordoet, impact, categorie, bron, risico-eigenaar, enzovoorts. Bij een aantal velden kies je uit een lijstje met vooraf gedefinieerde waardes. Verder zijn er ook enkele velden met vrije tekst invoer. Desgewenst vul je de documentatie van het betreffende risico aan met één of meer bijlagen, bijvoorbeeld enkele pdf-documenten.

De kans dat het risico zich voordoet (“likelihood”), biedt standaard keuze uit de mogelijkheden: “remote”, “unlikely”, “credible”, “likely” en “almost certain”. Bij de impact kies je uit: “insignificant”, “minor”, “moderate”, “major” en “extreme/catestrophic”. Bij zowel ‘de kans dat het risico zich voordoet’ als ‘de impact van het risico’ zijn dus vijf opties beschikbaar. Het systeem berekent op basis van deze twee variabelen de risico-index. Dit is een getal van één tot tien waarmee het systeem onderscheid kan maken tussen hogere, minder hoge en lagere risico’s. Het gebruikt de index om bijvoorbeeld de gewenste review-frequentie te berekenen, de risico’s een kleur-aanduiding te geven en de risico’s te sorteren. Wij kozen bijvoorbeeld bij een risico de kans dat het risico zich voordoet als “Likely” en de impact “Extreme/catastrophic”. Het systeem berekent op basis hiervan een risico-index van 8 (hoog). Bij latere reviews kunnen deze waarden veranderen, bijvoorbeeld omdat maatregelen genomen zijn die de impact beperken. Het systeem kan een grafiek tonen die deze ontwikkeling in de tijd laat zien.

Naast de genoemde velden voer je ook de regelgeving in die van toepassing is (bijvoorbeeld “ISO27001”, “Sarbanes-Oxley” of “HIPAA”). De vooraf gedefinieerde waarden zijn in vrijwel alle keuzelijstjes via het configuratiemenu door de beheerder aan te passen. De invoer van een nieuw risico in SimpleRisk kost, doordat je vaak uit dit soort vooraf gedefinieerde keuzelijstjes kiest, weinig moeite.

 

Volgende stap

De volgende stap in het risico management proces is het mitigatie-plan. In SimpleRisk voer je de voorgestelde oplossing of maatregelen in en de datum waarop de mitigatie is gepland. Verder voer je in wat de verwachte effort hiervan is, waarbij je kunt kiezen uit “trivial”, “minor”, “considerable”, “significant” en “exceptional”. Tot slot worden ook de verwachte kosten ingevoerd. Hierbij krijg je de keuze uit bijvoorbeeld € 0,- tot € 100.000,-, van € 100.000,- tot € 200.000,-, enzovoorts.

De organisatie gaat niet met alle risico’s op dezelfde manier om. Je kunt een risico bijvoorbeeld: 

•Accepteren; je weet dat het bestaat, maar je besluit het risico niet aan te pakken.

•Mitigeren; dit is het risico verzachten. Dat wil zeggen dat maatregelen worden genomen om de kans dat het zich voordoet, te verlagen of om de impact te verlagen, zodanig dat het risico meer acceptabel wordt. 

•Overdragen; bijvoorbeeld door het risico bij iemand anders neer te leggen, te verzekeren, etc. 

 

SimpleRisk biedt als mogelijke strategieën “accept”, “mitigate”, “research”, “transfer” en “watch”.

Nadat de risico’s in het systeem zijn opgenomen, en voor elk risico een mitigatie-plan is opgesteld, is in Simplerisk de derde stap in het risico management proces de management review. In SimpleRisk bestaat dit uit het goedkeuren van het geregistreerde risico en het voorgestelde mitigatie-plan of het afkeuren en sluiten van het geregistreerde risico. Verder bepaalt de reviewer de volgende stap, met daarbij de keuze uit accepteren tot de volgende review, opvoeren als mogelijk project of opvoeren als een productie issue. De review wordt verder aangevuld met een toelichting. Wanneer je hier “accepteren tot de volgende review” kiest, dan berekent SimpleRisk op basis van de risico-index de volgende reviewdatum uit.

 

Projectenlijst

Het werken met projecten in SimpleRisk bestaat uit simpel schuiven met de muis. Bij het uitvoeren van de review kan de reviewer aangeven dat de volgende stap ‘het in overweging nemen van de mitigatie van het risico’ moet zijn. In SimpleRisk komen deze risico’s op de lijst met actuele projecten, onder het kopje niet toegewezen risico’s (“Unassigned Risks”). Via de button met het plus-teken maak je een nieuw project aan. Nu klap je het kopje niet toegewezen risico’s uit en sleep je de betreffende risico’s naar het kopje van het nieuw aangemaakte project. Op deze manier kun je eenvoudig met elkaar gerelateerde risico’s samenvoegen in één project. Verder dan informeren welke risico’s in welk project zijn ondergebracht, gaat SimpleRisk echter niet.

SimpleRisk heeft vier tabbladen met projecten: actieve projecten, projecten on hold, afgeronde projecten en geannuleerde projecten. Je verhuist een project naar een ander tabblad door het betreffende project met je muis beet te pakken en te verslepen naar het betreffende tabje. Vervolgens laat je het project los. SimpleRisk ondersteunt alleen in het bijhouden van welke risico’s in welke projecten worden aangepakt. De projecten zelf beheer je dus met een separaat projectmanagement applicatie.

 

Rapportage

SimpleRisk heeft een uitgebreide rapportage module. Veel informatie wordt grafisch weergegeven, bijvoorbeeld in taart-puntgrafiekjes. 

Naast de nodige management informatiepagina’s vinden we ook een pagina “all open risks assigned to me”. Hierop staan alle lopende risico’s die aan de betreffende gebruiker zijn toegewezen, in volgorde van risico-index. De gebruiker kan dus eenvoudig deze lijst van boven naar beneden aflopen om vervolgstappen in het risico management proces te zetten. Op dezelfde wijze biedt de rapportage een lijst met risico’s die nog niet gereviewd zijn. Een reviewer kan deze lijst van boven naar beneden aflopen. Zo bestaat ook een pagina met lopende risico’s per team.

Een mooi overzicht biedt de pagina met mitigaties. Hier vinden we de mitigatieplannen bij elkaar, met de benodigde effort en de verwachte kosten. Ook deze pagina helpt mee om een gefundeerde keuze te maken als het gaat om prioriteiten.

 

Audit trail

SimpleRisk houdt een audit trail bij. Dit betekent dat alle handelingen gelogd worden en dat deze log op een logische manier is op te vragen. Wanneer je bijvoorbeeld een risico opent, dan kun je de audit trail van dat risico opvragen. Dit is een lijst gesorteerd op datum (nieuwste datum bovenaan), die start bij het aanmaken van het risico en vervolgens bijhoudt wie wat heeft gewijzigd. Bijvoorbeeld: 

A management review was submitted for risk ID “1001” by username “matto”.

 

Flexibel

SimpleRisk heeft als achtergrondgedachte dat risk management dynamisch is. Dit betekent dat de tool waarmee je werkt flexibel moet zijn. Dit is in SimpleRisk ingebouwd doordat je eenvoudig elementen kunt toevoegen aan het review proces, risico-categorieën, teams, locaties, enzovoorts.

SimpleRisk biedt de mogelijkheid het risico management in een gestructureerd proces te laten plaatsvinden. Het draagt bij aan een duidelijke taakverdeling door het werken met rollen (“User Responsibilities”) en met teams en door het toewijzen van mitigatieplannen aan personen. Het risico management wordt in heldere stappen verdeeld. Risico’s worden in hun complete levenscyclus gevolgd. SimpleRisk is een prima tool, maar mist wel een mogelijkheid om informatie te importeren en te exporteren, bijvoorbeeld in een csv-formaat.

 

Conclusie

Het werken met SimpleRisk is eenvoudig en voor veel velden kun je volstaan met het kiezen uit een vooraf gedefinieerd keuzelijstje. Hierdoor kun je snel en efficiënt werken. Het verlaagt daarmee de drempel tot het invoeren van risk management in je organisatie.