18 januari 2016

Risicoanalyses en archief-instellingen: een verkenning van mogelijkheden

image for Risicoanalyses en archief-instellingen: een verkenning van mogelijkheden image

Bij de gemeente ’s-Hertogenbosch zijn we in september 2013 begonnen met risicoanalyses. Het doel is om de afdelingshoofden inzicht te verschaffen in de risico’s die zij lopen op het gebied van informatiebeheer. In tegenstelling tot de risicoanalyses in Rotterdam zijn aan de uitkomsten van de Bossche analyses niet automatisch bepaalde maatregelen verbonden. De Bossche risicoanalyses zijn ook niet direct gericht op waardering en selectie, zoals de risicoanalyse in Belangen in balans, hoewel wij wel aanknopingspunten zien om ze daarbij ook te gebruiken.

Bij de gemeente ’s-Hertogenbosch zijn we in september 2013 begonnen met risicoanalyses. Het doel is om de afdelingshoofden inzicht te verschaffen in de risico’s die zij lopen op het gebied van informatiebeheer. In tegenstelling tot de risicoanalyses in Rotterdam zijn aan de uitkomsten van de Bossche analyses niet automatisch bepaalde maatregelen verbonden. De Bossche risicoanalyses zijn ook niet direct gericht op waardering en selectie, zoals de risicoanalyse in Belangen in balans, hoewel wij wel aanknopingspunten zien om ze daarbij ook te gebruiken. Over de manier waarop wij risicoanalyses en audits uitvoeren zijn op Breednetwerk verschillende blogposts verschenen. Daarin staan de methode en het proces tot in detail beschreven. Als bijlage bij de blogposts vindt u daar ook de sjablonen die in ’s-Hertogenbosch momenteel gebruikt worden. Deze documenten zijn vrij te gebruiken.3

Beter inzicht
Risicoanalyses dragen bij aan beter inzicht in de informatiehuishouding van een organisatie. Het geeft zicht op de plaats waar informatie opgeslagen wordt: in vakapplicaties, op schijven, mailboxen, papier, zaaksysteem (of zaaksystemen). Bovendien gebeurt dit in relatie tot de werkprocessen: welke informatie uit welk proces wordt waar opgeslagen? Deze informatie is bruikbaar bij het opstellen van een inspectieplan: welke werkprocessen, opslagmedia of onderwerpen behoeven (extra) aandacht? Aan welke zaken kan minder aandacht besteed worden? De resultaten van de risicoanalyses kunnen ook goede input vormen voor de agenda van bijvoorbeeld een Strategisch Informatieoverleg (SIO).

Aanknopingspunten overbrenging
Risicoanalyses vergroten het zicht op werkprocessen en opslagmedia. Daardoor bieden ze ook aanknopingspunten voor overbrenging. De centrale vraag: wat gaan we overbrengen naar het (e-) depot, wat kan vernietigd worden en op welke termijn? Daarvoor is een wettelijke basis in de gemeentelijke selectielijst, maar wat willen we nog meer opnemen? De risicoanalyse van het Nationaal Archief richt zich specifiek op deze vraag. Om die vraag te beantwoorden zijn er ook andere hulpmiddelen, zoals een systeemanalyse en een hotspotmonitor. In ’s-Hertogenbosch worden de risicoanalyses breder ingestoken, maar ze bieden nog steeds aanknopingspunten voor het opstellen van een selectielijst of het aanwijzen van informatieknooppunten. Waarschijnlijk wil je niet alleen dossiers uit een zaaksysteem opnemen, maar ook data uit andere informatiesystemen.
De zorgdrager kan de risicoanalyses gebruiken bij het opstellen van een selectielijst. De selectielijsten worden besproken bij het Strategisch Informatieoverleg. Alle aanwezige partijen kunnen de risicoanalyses gebruiken om de selectielijst goed geïnformeerd en kritisch te beoordelen.

Relatieversterking
Het uitvoeren en bespreken van risicoanalyses kan een goede manier zijn om op verschillende niveaus de relatie tussen het archief, het management, de vakafdelingen en de andere afdelingen binnen de I-kolom te versterken. Op operationeel niveau kan de samenwerking met een afdeling DIV/ICT/Informatiemanagement versterkt worden, bijvoorbeeld door de risicoanalyses samen uit te voeren. Op tactisch niveau bieden de risicoanalyses mogelijkheden om het gesprek aan te gaan met afdelingshoofden van vakafdelingen, andere afdelingen binnen de I-kolom of een controller. Op strategisch niveau kun je ze bespreken met een directie of het college van B en W.

Prioritering van werkzaamheden
De risicoanalyses geven je als archiefinstelling of DIV-afdeling een goed beeld van wat er binnen de organisatie speelt en hoe een organisatie werkt. Het helpt om beter en effectiever in te spelen op de behoefte. Een risicoanalyse is bovendien een heel concreet product waarmee jij je toegevoegde waarde voor je deelnemers tastbaar kunt maken. Dit kan ook gebruikt worden als input voor ontwikkeling van de eigen organisatie of afdeling. Dat is spannend. Misschien kom je wel tot de conclusie dat je aan zaken waaraan je nu (veel) tijd besteedt, minder of geen tijd zou moeten besteden, terwijl je nieuwe zaken zult moeten gaan oppakken.

Zeven adviezen
In ’s-Hertogenbosch voeren we sinds twee jaar risicoanalyses uit. Daarbij hebben we een aantal zaken goed aangepakt, maar ook op een aantal punten onze neus gestoten. Gepokt en gemazeld door de praktijk denken we dat het goed is om aan minimaal de volgende zaken te denken. Bij deze zeven adviezen voor archiefinstellingen die overwegen om een risicoanalyse te gaan doen.

  1. Team up! Zoek de samenwerking op met afdelingen die ook in de I-kolom zitten, zoals DIV, Informatiemanagement, ICT. Samenwerking heeft op verschillende vlakken toegevoegde waarde. Het samen uitvoeren van risicoanalyses versterkt de samenwerking en het partnerschap met de deelnemers. Het vergroot ook het draagvlak voor en het eigenaarschap van de risicoanalyses. Het uitvoeren van risicoanalyses vergt een grote inspanning. Het is dan niet alleen prettig dat die last over meerdere schouders verdeeld kan worden, maar het kan er ook voor zorgen dat het uitvoeren ervan een haalbare kaart wordt voor alle partijen. Ter illustratie: in ’s-Hertogenbosch heeft de eerste analyse 20-30 uur per afdeling gekost. De totale tijdsinvestering voor de hele organisatie schatten we op circa 1000 uur. De actualisatie waarmee we op dit moment bezig zijn kost gemiddeld 10 uur per afdeling. Organisatiebreed vergt het een tijdsinspanning van circa 450 uur.
  2. Ga voor generiek. Wat wil je met de risicoanalyse bereiken? Laat ook vooral ruimte voor verschillende doelen, zeker als je gaat samenwerken met andere partijen. Kies daarom voor een generieke opzet van de risicoanalyses. Dat vergroot het draagvlak voor de risicoanalyses, draagt bij aan de opvolging van geformuleerde beheersmaatregelen en maximaliseert de toegevoegde waarde van de risicoanalyse. In ’s-Hertogenbosch merken we dat het eigenaarschap van de analyse door sommige afdelingen beter gevoeld wordt dan door anderen.
  3. Maak de toegevoegde waarde zichtbaar. Beschrijf duidelijk de toegevoegde waarde van de risicoanalyse voor alle betrokken partijen, inclusief de afdelingen bij wie de risicoanalyses gedaan worden. Bedenk: wat heeft het afdelingshoofd Burgerzaken te winnen bij de risicoanalyse? Als de toegevoegde waarde niet duidelijk is, is er geen draagvlak om de risicoanalyses te gaan doen en zullen maatregelen en acties niet opgevolgd worden.
  4. Risicoanalyses ≠ audits. Het is aan de afdeling om uiteindelijk het risico te bepalen. Als archiefinstelling of DIV-afdeling kun je het proces van het benoemen van kans en impact begeleiden en sturen, maar afdelingen zullen afwegingen en keuzes gaan maken waar jij het als archivaris of inspecteur niet mee eens bent. Dat geldt voor zowel het bepalen van de uiteindelijke risico’s als de manier waarop men besluit met risico’s om te gaan. Je kunt dit oplossen door de kwaliteitscyclus rond te maken met het uitvoeren van een audit op basis van de risicoanalyse. Onze ervaring is echter dat uit de risicoanalyses weinig audits komen om bepaalde kwesties uit te diepen. Meestal worden er concrete acties geformuleerd.
  5. Probeer aan te haken bij bestaande kwaliteits- en PDCA-cycli binnen de organisatie. Dat verkleint de kans op ‘controle- en auditmoeheid’ en vergroot de kans dat aan informatiebeheer structureel aandacht wordt besteed. De risicoanalyses informatiebeheer kunnen op zichzelf staan. Effectieve gremia om ze te bespreken verschillen per organisatie, maar je kunt denken aan overleggen van managementteams, met een of meerdere controllers of met een CIO. In ’s-Hertogenbosch hebben we de afgelopen jaren geïnvesteerd in het beschrijven van de werkprocessen. Aansluitend daarop volgt het implementeren >> Handreiking voor waardering en selectie van archiefbescheiden in de digitale tijd Belangen in balans Versie 1.0 voor departementen, inclusief diensten en agentschappen van risicomanagement. Daarbij brengen wij als Documentaire Zaken risico’s en beheersmaatregelen op het gebied van informatiebeheer in.
  6. Blijf doorontwikkelen. De manier waarop je de risicoanalyses organiseert en uitvoert verandert continu. In ’s-Hertogenbosch hebben we de risicoanalyses na de eerste ronde geëvalueerd en het sjabloon flink aangepast. Na de tweede ronde zullen we weer een evaluatie houden. De functie en rol van de huidige risicoanalyses informatiebeheer zullen waarschijnlijk ook veranderen wanneer de generieke risicomodule is ingericht.
  7. Focus op het positieve. Van de 45 afdelingen die wij hebben benaderd voor een risicoanalyse reageerden er 44 welwillend. Eén afdeling reageerde zowel tijdens de eerste als de tweede ronde risicoanalyses afwijzend. Wij kiezen ervoor onze kennis en energie in de afdelingen te investeren die de toegevoegde waarde zien en hebben daar onze handen vol aan! Dat betekent niet dat we die afdeling niet op ons netvlies hebben: we wachten het juiste moment af om het gesprek opnieuw aan te gaan en benoemen de situatie op een hoger managementniveau.

In ’s-Hertogenbosch zijn we enthousiast over de mogelijkheden en resultaten. Onze aanpak en de resultaten zijn niet perfect, maar ze dragen er wel toe bij om structureel in gesprek te gaan met afdelingen en om verbeteringen door te voeren.

‘Van groot belang’
Stadsarchivaris Rolf Hage over risicoanalyses: ‘Risicoanalyses laten op eenvoudige wijze zien wat goed gaat, maar ook wat er schort aan informatiebeheer. De uitkomsten benadrukken de noodzaak van het in goede, geordende en toegankelijke staat brengen van archiefbescheiden of informatieobjecten, van het regelen van goed beheer. Dat helpt een (organisatieonderdeel van een) overheidsorgaan bij bedrijfsvoering en verantwoording. Voor het toezicht op de naleving van de wetgeving is het van groot belang te kunnen rapporteren aan de zorgdrager dat de organisatie risicoanalyses serieus neemt en verbeteracties uitvoert.’

Marieke Klomp, adviseur audit informatiebeheer bij gemeente ’s-Hertogenbosch (m.klomp@s-hertogenbosch.nl).

Noten
1 Nationaal archief, Belangen in balans. Handreiking voor waardering en selectie van archiefbescheiden (2015), versie 1.0 voor departementen, inclusief diensten en agentschappen. Via: www.nationaalarchief.nl/onderwerpen/waardering-selectie/handreiking-waardering, laatst gezien op 18-6-2015.
2 http://www.stadsarchief.rotterdam.nl/informatie-beheren/informatiebeheer/risicomodelinformatiebeheer, laatst gezien op 18-06-2015.
3 Het artikel over risicoanalyses is te vinden via: www.breednetwerk.nl/profiles/blogs/risicoanalyses. Auditing wordt besproken op: www.breednetwerk.nl/profiles/blogs/auditing?xg_source=activity.