21 juli 2015

Risicoanalyses informatiebeheer

image for Risicoanalyses informatiebeheer image

Waarom risicoanalyses?

Waarom risicoanalyses?
De gemeente ’s-Hertogenbosch hanteert een integrale managementfi losofi e. Verantwoordelijkheden zijn in grote mate decentraal belegd bij afdelingshoofden. Afdelingshoofden dragen niet alleen zorg voor hun primaire proces, maar zijn ook verantwoordelijk voor de beheersing van ondersteunende processen op hun afdeling, zoals personeelsmanagement en informatiebeheer. Dit betekent dat het de verantwoordelijkheid van het afdelingshoofd is om te sturen op informatiebeheer. Bij het vormgeven van het informatiebeheer heeft Documentaire Zaken in belangrijke mate een faciliterende en adviserende rol, en in beperktere mate een uitvoerende rol. Een eerste voorwaarde voor een afdelingshoofd om te kunnen sturen is inzicht in het informatiebeheer op een afdeling. Het doel van de risicoanalyses is om het afdelingshoofd overzicht te verschaffen met betrekking tot het informatiebeheer op zijn/haar afdeling en inzicht te verschaffen in de risico’s. Op die manier kan een afdelingshoofd geïnformeerd beslissingen nemen om wel/niet bij te sturen, waar bij te sturen en met welke maatregelen dat het beste kan gebeuren.

Opzet risicoanalyses
Wij gaan als volgt te werk: het bureauhoofd Documentaire Zaken schrijft alle afdelingshoofden aan. Het afdelingshoofd wijst een aantal medewerkers aan met wie wij interviews plannen. De interviews bereiden wij voor door middel van desk research, het doornemen van bedrijfsplannen, werkplannen, procesbeschrijvingen en werkinstructies. Op die manier krijgen we een goede feel voor werkprocessen en de issues van een afdeling. Tijdens het interview bespreken we twee dingen: we nemen de werkprocessen van een afdeling door en we bespreken de opslagmedia. Bij de werkprocessen benoemen we het begin en het einde van een proces, hoe vaak het wordt uitgevoerd (zelden/soms/regelmatig/ zeer vaak) en benoemen we het politieke, financiële, juridische en cultuurhistorische belang (laag/midden/hoog). Vervolgens vragen we welke opslagmedia ze gebruiken. Bij ieder opslagmedium noteren we waar het voor gebruikt wordt, wie de eigenaar/functioneel beheerder/gegevensbeheerder is. Dat levert een goed beeld op van de kritische opslagmedia en welke actie binnen het bereik van de afdeling in kwestie ligt en welke actie niet.

Daarna bekijken we zes aspecten van een opslagmedium:

  • Volledigheid: is alle informatie die je nodig hebt aanwezig? Of moet je meerdere opslagmedia raadplegen?
  • Betrouwbaarheid: is de informatie betrouwbaar? Weten we hoe die in de systemen is gekomen en kunnen we nagaan of die later nog gewijzigd is? Weet je zeker dat je met de juiste versie werkt van het document?
  • Vindbaarheid: is de informatie eenvoudig terug te vinden? Ook als het niet om je eigen documenten, maar om documenten van anderen gaat?
  • Bruikbaarheid: kunnen bestanden goed geopend worden op de systemen die je gebruikt?
  • Houdbaarheid: technologie veroudert en verdwijnt. Hoe is geborgd dat de informatie over een paar jaar nog bruikbaar is?
  • Autorisatie: kan de informatie alleen geraadpleegd/veranderd of verwijderd worden door de mensen die daartoe gerechtigd zijn? Zijn dit er teveel of juist te weinig?

Deze aspecten worden gewaardeerd met slecht/redelijk/ goed. Op basis hiervan bepalen de afdelingen of het risico van het opslagmedium laag/middel/hoog is. Dat koppelen we vervolgens aan de waardering van het werkproces en de afdeling bepaalt het uiteindelijke risico (laag/midden/ hoog). De resultaten van de risicoanalyse wordt teruggekoppeld aan het afdelingshoofd en van de sector aan de sectorcontroller.

Kenmerken van de Bossche aanpak
De manier waarop in Den Bosch risicoanalyses worden uitgevoerd, wordt gekenmerkt door een aantal eigenschappen die hierna besproken worden.
De opzet is pragmatisch en bedoeld als quick-scan. We hebben ook gekozen voor een pragmatische aanpak, omdat we de inspanning behapbaar houden. De eerste risicoanalyse heeft ons gemiddeld 20 tot 30 uur per afdeling gekost en voor de actualisatie rekenen we gemiddeld 10 uur per afdeling. Dit betekent dat de nulmeting een totale tijdsinspanning van circa 1000 uur heeft gekost en de actualisatie 400 uur.
De analyse is ook subjectief in de zin dat er geen harde eisen onder liggen die gebaseerd zijn op (ISO) normen.

Daar hebben we bewust voor gekozen. De grootte en complexiteit van afdelingen en hun taken, verantwoordelijkheden en budgetten loopt uiteen en daar wilden we ruimte voor laten. We hebben er voor gekozen om bottomup te werken. Een besluitvormingstraject kost tijd. Onze redenering is geweest: als wij iets bieden waar de organisatie behoefte aan heeft, dan is daar draagvlak voor en zullen we dat gauw genoeg merken.

Een algemeen kenmerk van een risicoanalyse is dat het eigenaar schap van het risico bij de afdeling ligt. Dat is in ’s-Hertogenbosch ook de insteek, hoewel de praktijk ons heeft geleerd dat veel afdelingen zich geen of slechts gedeeltelijk eigenaar voelen van de risicoanalyse. Zij beschouwen de analyse vaak in de eerste plaats als een zaak van Documentaire Zaken.

Voor- en nadelen
Een voordeel van onze aanpak is dat we snel konden beginnen en de resultaten waren ook snel zichtbaar. We bestrijken de hele organisatie, terwijl de inspanning doenlijk blijft. We hebben op één afdeling na bij alle afdelingen een analyse uitgevoerd. Het quickscankarakter heeft wel als nadeel dat we niet altijd weten in welke mate we incompleet zijn. Omdat er geen harde eisen onder de kwalificaties laag/midden/hoog of slecht/redelijk/goed liggen, zijn de analyses onderling niet vergelijkbaar. Anderzijds: de grootte en complexiteit van afdelingen lopen dusdanig uiteen dat afdelingen ook niet goed vergelijkbaar zijn.

Daarnaast merken we dat de afdelingen zelf de analyse erg op prijs stellen. Het lukt vaak om met de afdeling tot aanbevelingen te komen. Het is echter moeilijk om te komen tot concrete acties en afspraken om risico’s bij te stellen, zeker wanneer dit een structurele inspanning van de afdeling vereist. Een goed voorbeeld hiervan is het beheer op de afdelingsschijf. Bij veel afdelingen hebben we samen met de afdeling geconcludeerd dat er veel informatie op de afdelingsschijf staat, maar dat daar niet of nauwelijks beheer op plaatsvindt. Zowel de afdeling als DZ vindt dat beheer wenselijk zou zijn en dat het goed zou zijn om bepaalde documenten in het zaaksysteem op te slaan. Het wordt lastiger wanneer we concrete afspraken proberen te maken: wie gaat wat doen en op welke termijn? Vaak worden deze zaken wel als belangrijk, maar als te weinig urgent ervaren. Wat is dan de winst? Het issue is in ieder geval een keer formeel op de kaart gezet. Dat verlaagt de drempel om het in de toekomst opnieuw te agenderen.

Toegevoegde waarde en resultaten
Risicoanalyses passen om verschillende redenen bij de gehanteerde managementfilosofie en rol van Documentaire Zaken. Een voorwaarde om te kunnen sturen als afdelingshoofd is informatie. De risicoanalyses bieden dat: informatie over het informatiebeheer. Daardoor kunnen afdelingshoofden goed geïnformeerd beslissingen nemen of en hoe ze op hun informatiebeheer willen sturen. De afdelingen ervaren de risicoanalyses in het algemeen als positief. Gemiddeld genomen is het bewustzijn over informatiebeheer toegenomen.
De risicoanalyses vergroten het bereik van Documentaire Zaken: naast het papier en het zaaksysteem waarvoor wij zorgdragen, hebben we nu ook meer zicht op de inhoud op de schijven en de vakapplicaties. Het zicht op vragen en knelpunten, maar ook op wat er goed gaat, is verbeterd. Hierdoor is het voor Documentaire Zaken duidelijker waar behoefte is aan welke soort ondersteuning. Wij kunnen ons werk beter prioriteren, effectiever en efficiënter uitvoeren en beter en sneller toegevoegde waarde realiseren voor de afdelingen.
Dit versterkt de weer de positie van Documentaire Zaken niet alleen binnen de organisatie als geheel, maar zeker ook in de Ikolom. Een concreet voorbeeld hiervan is het ‘Project afdelingsschijven’. Tijdens de eerste ronde risicoanalyses hebben veel afdelingen om assistentie en advies gevraagd bij het beheren van hun afdelingsschijven. Dit jaar maken we met hen een analyse van hun schijf en assisteren we ze bij het opzetten van een nieuwe structuur, het maken van werkafspraken en het waarderen, selecteren en overdragen van oudere bestanden. Deze zullen volgens de wettelijke norm vernietigd moeten worden. Dit brengt ook weer uitdagingen met zich mee.

Hoe nu verder?
We willen onze aanpak verder door ontwikkelen en nog beter laten aansluiten op de bedrijfsvoering. Bij een volgende ronde risicoanalyses willen we daarom ook vooraf met de controllers overleggen. Daarnaast zijn we betrokken bij de implementatie van een gemeentebrede risicomodule. Op die manier willen we proberen om aandacht voor informatiebeheer een integraal onderdeel te laten zijn van een assessment van bedrijfsrisico’s.

Het doen van de risicoanalyses biedt ook aanknopingspunten om Documentaire Zaken verder door te ontwikkelen. We onderzoeken op dit moment de mogelijkheden voor auditing informatiebeheer. Daarnaast verkennen we met ICT de mogelijkheden om eventueel bij te dragen aan het uitvoeringsplan informatieveiligheid. Ten slotte oriënteren we ons op de mogelijkheid om een adviserende rol op te pakken met betrekking tot privacy van gegevens.

m.klomp@s-hertogenbosch.nl, Marieke Klomp is adviseur Audit Informatiebeheer bij het bureau Documentaire Zaken van de gemeente ’s-Hertogenbosch.