Het ITDS Risk-team deelt graag en regelmatig kennis. In blogs, whitepapers en vanaf nu ook in visiestukken. Michiel Bouwman zet in dit eerste visiestuk uiteen hoe een slimme aanpak leidt tot een optimaal effectief incidentenmanagement.

 

AANLEIDING

Organisaties worden geacht hun incidentmanagement op orde te hebben. In ieder geval: dat is ten zeerste aan te bevelen. Wie wil nu niet leren van zijn fouten en niet in dezelfde valkuil trappen?

Dat op orde hebben begint met een beleid waarin staat hoe de organisatie omgaat met het identificeren, rapporteren en opvolgen van incidenten. Vaak is dat beleid wel aanwezig, alleen in de praktijk blijft de naleving van het proces achter bij alle goede bedoelingen. Een deel van de incidenten worden niet gemeld, of worden pas gemeld op navraag van de 2^delijn. Hierdoor bevat de kwartaalrapportage maar een deel van de incidenten en is geen volledig beeld van de oorzaken en gevolgen van incidenten en kunnen incidenten, missers en uitglijers opnieuw gebeuren. De oorzaak van dit alles ligt deels aan het beleid en het proces en waarschijnlijk nog meer aan houding en gedrag.

 

VISIE OP HET VERBETEREN VAN HET INCIDENTEN PROCES

Een incidentenproces kan alleen maar succesvol zijn als het beleid & proces en met name houding en gedrag van het management op orde zijn. Tone at the top is een essentieel onderdeel van de borging van incidentmanagement binnen de dagelijkse werkzaamheden. Voorbeelden van vragen die hierbij een rol spelen zijn:

 

Beleid & Proces

• Is onze visie en beleid ten aanzien van het incidentenproces duidelijk, begrijpelijk en uitlegbaar?
• Hebben we een duidelijke procedure voor het melden van incidenten?
• Is duidelijk welke incidenten we moeten melden? Wanneer is iets “erg genoeg” om te melden?
• Wie moeten hier vervolgens iets van vinden?
• Wat gebeurt er vervolgens met de melding en hoe wordt dit teruggekoppeld aan de melder?
• Hoe zorgen we ervoor dat een incident ons een 2^eof zelfs 3^ekeer niet meer kan overkomen?
• Hoe houden we zicht op alle verschillende soort incidenten? En wat het ons kost aan materiele en immateriële schade?
• Welke mogelijke incidenten hebben we nu voorkomen omdat we geleerd hebben van eerdere incidenten en daar ook echt wat mee hebben gedaan?

 

Houding en gedrag

• Hoe moedigen we het melden en juist registreren van incidenten aan?
• Wat is onze eerste reactie bij een incident?
• Hoe behandelen we een melding? Ook als het iets zegt over iemands functioneren?
• Hoe serieus nemen we een incident?
• Hoe houden we de melder en de betrokkenen op de hoogte?
• Hoe nemen we verantwoordelijkheid voor een incident?

OPLOSSING

Begin het verbeterproces met een analyse van het huidige incidentenbeleid en -proces, met een beoordeling van opzet, bestaan en werking. Betrek hierbij zowel het management als de operatie. Beoordeel hierbij de volgende onderdelen:

• Beleid en Governance;
• Criteria voor incidentenrapportering;
• Proces om incidenten te melden en te behandelen, op te volgen en te documenteren;
• Samenhangende onderwerpen zoals klokkenluidersbeleid of richtlijnen voor intern onderzoek.

 

Definieer op voorhand kenmerken die aanwezig moeten zijn. Een voorbeeld is de rol van het management. Bijvoorbeeld: wordt na een incident boven de grenswaarde een onderzoek naar de oorzaken uitgevoerd? Heeft dit vervolgens geleid tot structurele maatregelen om zulke incidenten in de toekomst te voorkomen?

 

Beleid, proces, houding en gedrag

Ga hierbij met het management aan de slag om de analyse te vertalen naar hun eigen dagelijkse praktijk. Doe dit in termen van beleid, proces, houding en gedrag.Een onderdeel van deze uitwerking is dat het management zich committeert aan concrete doelen die het zichzelf ten doel stelt ter verbetering, zoals het percentage meldingen dat meer gemeld wordt of een vergroting van het aantal incidenten waarvan wordt geleerd. Het is daarna aan het management om het incidentenproces te laten werken, waarbij houding en gedrag bepalend is voor het succes.

 

Harde vs zachte aspecten

De werkhypothese is dat een organisatie ongeveer één jaar nodig heeft om het gewenste incidentenproces in alle aspecten succesvol door te voeren in de organisatie. Voer ieder kwartaal een evaluatie uit met management en de operatie. Kijk hierbij naar “harde aspecten” zoals de registratie van incidenten, vastgelegde bewijsvoering (“evidence”) en evaluaties van incidenten en genomen maatregelen. Maak een vergelijking met de nulmeting en breng de belangrijkste ontwikkelingen in kaart. Kijk tevens naar “zachte aspecten” die betrekking hebben op houding en gedrag. Haal dit op in de operatie en bespreek dit in de organisatie ter reflectie.

 

WELKE KANSEN ZIET U?

Sparren over effectief incidentenmanagement? Of een andere vraag?
Stuur een e-mail naar m.bouwman@itds.nl. We maken graag een afspraak.