Op 21 april hebben we vanuit het bureau Documentaire Zaken een studiemiddag georganiseerd over risicoanalyses op het gebied van informatiebeheer. Drie gemeentes – Rotterdam, Nijmegen en ’s-Hertogenbosch – lieten onder het motto “De kracht van...” hun aanpak zien en vertelden welke ervaringen zij hebben.

Verloop van de middag

Vanaf 12.30 was er inloop met koffie/thee en een lekkere Bossche Bol. Om 12.50 uur openden documentmanager Merel Broekhuizen en Directeur Bestuurszaken Joost Hansum de middag met inspirerende woorden over het doel van deze middag: kennis delen met elkaar en de toegevoegde waarde van risicoanalyses vanuit managementperspectief. Vervolgens ging iedereen aan de slag in drie sessies waarin Rotterdam, Nijmegen en Den Bosch hun aanpak presenteerden. Daarbij ging het niet alleen om de manier waarop de risicoanalyses zijn opgezet, maar juist ook over de ervaringen in de praktijk. Wat gaat er goed, misschien wel beter dan verwacht? Maar ook: waar lopen we tegenaan? Wat gaat er niet goed? Wat willen we graag anders organiseren? Waarom werkt dat zo? Om 15.45 kwam iedereen weer bij elkaar in de collegezaal van het Stadsarchief waar Robbert van Kats de middag samenvatte en waar we gezellig een borrel hebben gedronken.

De deelnemers

De middag was met 40 deelnemers goed bezocht. Het gezelschap bestond voor 2/3 uit mannen en 1/3 uit vrouwen. De deelnemers waren afkomstig uit 8 provincies, namelijk Noord-Brabant, Limburg, Utrecht, Gelderland, Overijssel, Flevoland, Noord-Holland en Zuid-Holland. Zij vertegenwoordigen verschillende overheidslagen: provincie, rijk, gemeentes en waterschappen, maar ook ZBO’s en  archiefinstellingen waren aanwezig. De deelnemers komen uit verschillende, maar vaak ook aangrenzende vakgebieden: DIV’ers, informatiemanagers, recordmanagers, archivarissen, archiefinspecteurs, documentmanagers, beleidsmedewerkers en auditors. Kortom: een veelzijdig gezelschap dat garant staat voor levendige discussies.

Risicoanalyses bij de gemeente Rotterdam

In Rotterdam voert het Stadsarchief sinds twee jaar risicoanalyses uit. Jeroen van Oss vertelt hoe de aanpak van Rotterdam tot stand is gekomen. Daarbij gaat hij in op de organisatorische context: de gemeentelijke organisatie was tot voor kort sterk versnipperd, maar is de afgelopen jaren gecentraliseerd. Deze beweging wordt gemaakt vanuit één centrale governance. Een onderdeel van de kaders en de governance voor informatiebeheer is het risicomodel informatiebeheer. Hiermee wordt de norm gesteld voor beheersmaatregelen op het gebied van informatiebeheer in de ICT-omgeving, metadata, en procesinrichting. Bij de invoering of aanpassing van alle ICT-toepassingen en procesinrichtingen wordt eerst de risicoklasse vastgesteld aan de hand van een vragenlijst voor de proceseigenaar, in een exceltoepassing, en vervolgens de passende beheersmaatregelen in de implementatie toegepast. Jeroen vertelt hoe het analyseproces en –instrument werkt. Op dit moment is de analyse toegepast op circa 50 processen. De ervaring tot nu toe is dat het niet alleen helpt om informatiebeheer in applicaties en processen in te bouwen, maar ook om draagvlak bij proceseigenaren te bevorderen. Het instrument is ontwikkeld voor een complexe, grootschalige organisatie als de gemeente Rotterdam. Voor kleinere organisaties werd het instrument door de toehoorders als zwaar beoordeeld, maar zij zagen wel mogelijkheden om onderdelen hiervan, al of niet in aangepaste vorm in hun organisaties toe te passen.

Risicoanalyses bij de gemeente ‘s-Hertogenbosch

Ook in ’s-Hertogenbosch worden sinds twee jaar risicoanalyses gedaan. Ik schets de ontstaansgeschiedenis, doel, proces, resultaten en de voor- en nadelen van de Bossche opzet. Het doel van de risicoanalyse is inzicht verschaffen aan de afdelingshoofden over hun informatiebeheer, zodat ze goed geïnformeerd daarop kunnen sturen. De uitvoering van de analyse is bottom-up gegaan. We hebben geen bestuurlijk besluitvormingstraject doorlopen, maar zijn begonnen met de afdelingen te benaderen: snel beginnen – snel resultaat. De Bossche aanpak is pragmatisch van opzet, heeft het karakter van een quick-scan en heeft een kwalitatieve inslag. In Den Bosch hebben de risicoanalyses een groot bereik: op één afdeling na zijn van alle afdelingen een analyse gemaakt. Wat moeilijk blijft is het formuleren van acties om situaties te verbeteren en de opvolging van die acties. Dat willen wij verbeteren door de controllers meer en beter te informeren, zodat zij ook geïnformeerd op het informatiebeheer kunnen sturen. De resultaten van de risicoanalyses kunnen ook aanknopingspunten vormen voor het inspectieplan van de archiefinspecteur.

Risicoanalyses bij de gemeente Nijmegen

In Nijmegen worden op dit moment nog geen risicoanalyses uitgevoerd. Het Regionaal Archief Nijmegen oriënteert zich samen met de gemeente Nijmegen op de beste aanpak om risicoanalyses te gaan uitvoeren. Men wil graag de risico’s op het gebied van informatiebeheer in kaart brengen om te bepalen uit welke werkprocessen en welke applicaties informatie opgenomen moet worden in het E-depot en welke metadata daarvoor geregistreerd moeten worden. Het is een interessante workshop, omdat het goed inzicht geeft in welke vragen, keuzes en dilemma’s op je pad komen wanneer je besluit risicoanalyses te willen gaan doen.

Meer weten?

Wij kijken terug op een geslaagde middag en willen de sprekers bedanken voor hun bijdrage. Voor iedereen die hier niet bij heeft kunnen zijn of die het materiaal nog eens wil teruglezen: alle deelnemers stellen hun presentatie beschikbaar. Ze zijn als bijlage toegevoegd aan deze blog.

Presentatie 's-Hertogenbosch

21-04-2015_Presentatie_Den_Bosch.pptx

Presentatie Rotterdam

2015_04_21_Presentatatie_igovernance_risicomodel_Rotterdam.ppt

2015_05_12_Factsheet_Risicomodel_informatiebeheer_010.doc

Presentatie Nijmegen

20150428_Presentatie_risicoanalyse_Nijmegen_tbv_bijeenkomst_Den_Bos...