In eerdere blogs had ik het over risico’s, kans en impact, en hoe je maatregelen kunt kiezen. Maar er zit nog een laag onder die vaak vergeten wordt. Risico’s ontstaan namelijk bijna nooit door alleen techniek. Meestal is het een combinatie van mens, organisatie en techniek.
Dat klinkt theoretisch, maar in de praktijk valt het best mee. Sterker nog: als je dit principe eenmaal ziet, herken je het overal in je bedrijf.
Laten we het daarom praktisch maken.
Risico’s ontstaan zelden door één ding
Veel ondernemers denken bij risicomanagement direct aan techniek. Firewalls, camera’s, alarmsystemen, backups.
Allemaal nuttig. Maar techniek is meestal maar een derde van het verhaal.
Vrijwel ieder incident ontstaat door een combinatie van drie factoren:
- Mens – gedrag, fouten, kennis of motivatie
- Organisatie – processen, afspraken, controle
- Techniek – systemen, software, machines
Als één van die drie zwak is, ontstaat er ruimte voor risico.
Een simpel voorbeeld.
Stel je hebt een webshop in sportartikelen.
- De techniek: een goed webshopplatform maar het slaat wachtwoorden onversleuteld op
- De organisatie: medewerkers mogen zelf klantgegevens uit het platform exporteren voor marketing doeleinden
- De mens: een medewerker mailt het geëxporteerd Excelbestand naar zijn privé-mail om thuis verder te werken
Technisch is er niets “gehackt”.Toch ligt ineens je hele klantenbestand buiten je bedrijf.
Dat is dus geen puur technisch probleem. Het is een mens-organisatie-techniek probleem.
Voorbeeld 1: de factuurfraude bij een MKB-bedrijf
Dit is een klassieker.
Je hebt een installatiebedrijf met 15 medewerkers. De administratie betaalt facturen die per mail binnenkomen.
Op een dag komt er een mail van een “leverancier”:
“Ons rekeningnummer is gewijzigd, graag toekomstige facturen hierheen overmaken.”
De volgende factuur van €4.800 wordt netjes betaald.Alleen… het geld gaat naar een fraudeur.
Waar zat het risico?
Techniek
- Mail kan relatief makkelijk worden nagemaakt
Organisatie
- Er is geen controle op wijziging van bankrekeningnummers
Mens
- De administratief medewerker doet gewoon zijn werk en handelt pro-actief en klantvriendelijk
De oplossing zit ook weer in alle drie de onderdelen:
- Techniek: spamfilters en mailbeveiliging
- Organisatie: wijziging bankrekening altijd telefonisch controleren
- Mens: medewerkers trainen om dit soort mails te herkennen
Alleen techniek installeren had dit probleem waarschijnlijk niet opgelost.
Voorbeeld 2: een machine die de productie stillegt
Een ander voorbeeld dat veel maakbedrijven herkennen.
Stel je hebt een metaalbewerkingsbedrijf. Eén CNC-machine doet 40% van je productie. Op een ochtend start de machine niet meer op omdat de besturingssoftware corrupt is.
Resultaat: twee dagen 40% minder omzet met doorlopende (personele) kosten.
Ook hier kun je weer kijken naar mens, organisatie en techniek.
Techniek
- De software van de machine kan stuk gaan
Organisatie
- Er is geen recente backup van de configuratie
Mens
- Niemand weet precies hoe de machine opnieuw ingesteld moet worden
Gevolg: de leverancier moet langskomen om alles opnieuw in te stellen en heeft pas over 2 dagen.
Een relatief simpele organisatorische maatregel had hier veel geholpen:een periodieke backup van de machineconfiguratie en een (korte) werkinstructie of training in het configureren van de machine.
Waarom dit model handig is
Het grote voordeel van kijken naar mens, organisatie en techniek is dat het helpt om completer naar risico’s te kijken.
Veel ondernemers lossen risico’s namelijk instinctief zo op:
Er is een probleem → zo snel mogelijk weer draaien.
Maar wanneer de druk hoog is, maak je niet per se de meest optimale keuzes. Met de maatregelen van de periodieke backup en de werkinstructie had je en downtime en kosten van de leverancier kunnen besparen. En wat als je je had laten verleiden om maar ‘gewoon’ een nieuwe machine te kopen? Dan was het prijskaartje nog hoger op gelopen.
Door de combinatie van mens, organisatie en techniek toe te passen heb je een completer palet aan maatregelen tot je beschikking. En daarmee kom je tot een beter, en meer kosten-effectieve beheersing van je risico’s. Want het maken van backups en het schrijven van een werkinstructie kosten veel minder dan een nieuwe machine (onnodig) aanschaffen.
Hoe kun je dit praktisch toepassen?
Je kunt dit verrassend simpel doen.
Pak een risico uit je lijst (bijvoorbeeld uit je risicoanalyse) en stel drie vragen:
1. MensKunnen mensen hier fouten maken? Of missen ze kennis?
2. OrganisatieHebben we duidelijke afspraken of controles?
3. TechniekHelpt onze techniek om fouten te voorkomen of juist niet?
Vaak kom je dan automatisch op betere maatregelen. Een voorbeeld:
Risico: ransomware in je bedrijf.
Veel organisaties denken direct aan antivirussoftware.Maar een betere set maatregelen kan zijn:
- Mens: medewerkers leren phishingmails herkennen
- Organisatie: geen lokale adminrechten op werkplekken
- Techniek: goede backups + endpoint security
Samen verkleinen die het risico veel sterker dan één losse maatregel.
Tot slot
Risicomanagement klinkt soms alsof het alleen iets is voor grote organisaties met dikke rapporten.
In werkelijkheid komt het vaak neer op gezond nadenken over hoe je bedrijf werkt.
Als je risico’s bekijkt door de bril van:
- mens
- organisatie
- techniek
dan zie je vaak sneller waar de echte zwakke plekken zitten.
En het mooie is: veel oplossingen zitten niet in dure systemen, maar in betere afspraken, duidelijkere processen en een beetje bewustzijn bij mensen.
Dat maakt risicomanagement meteen een stuk praktischer — en een stuk haalbaarder voor het MKB.