Hallo Noa, een risico eigenaar is degene die verantwoordelijk is voor het achterliggend doel / resultaat. Martin van Staveren zegt altijd: “Resultaatverantwoordelijke = risico-eigenaar". De risico-eigenaar bepaalt welke maatregelen/controls nodig zijn om het risico te beheersen. Dit is vaak iemand die al een verantwoordelijkheid/taak heeft vanwege zijn functie / werkinhoud. Het kan ook de risico-eigenaar zelf zijn. Een risico-eigenaar hoeft niet altijd een leidinggevende te zijn. Wanneer je bijvoorbeeld risico's hebt geïdentificeerd op procesniveau is de proceseigenaar de risico-eigenaar. Dit kan ook een rol zijn in een organisatie. Of risico's gekoppeld aan specifieke systemen/applicaties kunnen worden toegewezen aan inhoudelijke risico-eigenaren.

Twee voorbeelden:

De ICT manager is eigenaar van het risico dat er geen systemen gehackt worden. Een ICT-medewerker is eigenaar van de maatregel om iedere week het malware-incident rapport te analyseren.

De HRM manager is eigenaar van het risico “Onvoldoende beschikbaar hebben van goed gekwalificeerd personeel”. Lijnmanagers zijn eigenaar van de maatregel om een keer per kwartaal een prognose door te geven.

Dank voor de uitleg en voorbeelden!