Artikels

De risicoanalyse: de BOW-TIE (Vlinderdasmodel).

admin

De BowTie-methode is een kwalitatieve risicoanalyse methode waarmee op een systematische  wijze een beeld kan worden verkregen van de risico’s die in een organisatie aanwezig zijn en van de preventieve en beschermingsmaatregelen die hierop (kunnen) worden ingezet. Risico’s, bedreigingen, preventieve en beschermingsmaatregelen zijn in één model verenigd. Centraal staat de ongewenste gebeurtenis. Links de oorzaken, rechts de gevolgen. Beheersmaatregelen toont men in de vorm van barrières.

 BowTie1  

Overzicht

De vlinderdas analyse is een eenvoudige manier in de vorm van een figuur die de paden analyseert en beschrijft van een ongewenste gebeurtenis vanaf de mogelijke oorzaken t.e.m. de ongewenste gevolgen. Het kan beschouwd worden als de combinatie van een foutenboomanalyse, die graaft naar de oorzaken van een gebeurtenis, en een gebeurtenissenboom die de mogelijke gevolgen in kaart brengt. Maar de essentie van de vlinderdas ligt in het aanbrengen van beheersmaatregelen, preventief of beschermend, tussen de oorzaken en de gebeurtenis, en tussen de gebeurtenis en de gevolgen. Een Vlinderdas kan opgebouwd worden vanuit het werken aan een foutenboom en een gebeurtenissenboom, maar wordt vaker in een enkele beweging uitgewerkt in een of meerdere brainstormsessies.

Gebruik

Een vlinderdas wordt gebruikt ter illustratie van de mogelijke waaier van oorzaken en gevolgen die horen bij een ongewenste gebeurtenis. Het wordt gebruikt wanneer men niet een volledige foutenboomanalyse kan rechtvaardigen, of wanneer de focus vooral ligt op het nemen van maatregelen voor elk falend pad. Het is telkens bruikbaar daar waar onafhankelijke falende paden zijn. Het is ook een voorstellingsmethode die eenvoudiger te begrijpen is dan een foutenboom een gebeurtenissenboom. Het kan dus ook gebruikt worden als communicatiemiddel, terwijl andere, meer complexe methoden gebruikt worden in de achtergrond voor de eigenlijke analyse.

Input

Er is een zekere mate van kennis van het falen, de mogelijke oorzaken en gevolgen vereist alsook van mogelijke maatregelen die zorgen voor het voorkomen van het falen of beschermen tegen de gevolgen.

Proces

De vlinderdas wordt als volgt opgesteld:

  1. Een bepaalde ongewenste gebeurtenis… wordt geïdentificeerd voor de analyse en wordt in de centrale knoop van de vlinderdas geplaatst.
  2. De mogelijke gekende oorzaken van de gebeurtenis worden opgelijst met bronnen van bedreigingen in het achterhoofd.
  3. Het mechanisme waarbij de bron van de gebeurtenis aanleiding geeft tot de gebeurtenis wordt bepaald met de methode van “5 x waarom-vragen” [link]
  4. Verbindingslijnen worden getrokken tussen de mogelijks opeenvolgende oorzaken die aanleiding geven tot de gebeurtenis en de falende ongewenste gebeurtenis. Deze worden getekend aan de linkerkant van de vlinderdas. Factoren die kunnen bijdragen tot het escaleren van de gebeurtenis worden geïdentificeerd en opgenomen in het diagram.
  5. Preventieve maatregelen worden geïdentificeerd bij de verschillende oorzaken en escalatiefactoren. Deze kunnen in het diagram getekend worden als verticale strepen. Over de verbindingslijn(en). Deze benadering kan gebruikt worden voor opportuniteiten waar de verticale strepen maatregelen voorstellen voor het stimuleren van het gewenste effect en de gewenste gebeurtenis.
  6. Aan de rechterkant van het diagram worden de verschillende gevolgen geïdentificeerd (eventueel met een methode van “5 x wat dan?” vragen) en worden verbindingslijnen getekend tussen gevolgen die kunnen optreden in cascade.
  7. Protectieve maatregelen (= beschermingsmaatregelen) ter bescherming tegen de gevolgen worden aangebracht in het schema als verticale strepen over de verbindingslijn(en). Deze benadering kan gebruikt worden voor positieve gevolgen, waar de strepen de maatregelen voorstellen ter stimulans en ondersteuning van het veroorzaken van de gewenste gevolgen.
  8. Management functies die de maatregelen ondersteunen (zoals training en inspectie of audit) kunnen getoond worden onder de vlinderdas en gelinkt worden aan de respectievelijke maatregel. Quantificatie van de vlinderdas is mogelijk als de paden onafhankelijk zijn, de kans voor een bepaald gevolg gekend is en een getal kan geplakt worden op de effectiviteit van de maatregel. In veel gevallen kan dit niet.

Resultaat

Het resultaat is een eenvoudig diagram dat de vele mogelijke paden toont en de maatregelen die genomen moeten worden.

BowTie2

Figuur – Voorbeeld van een vlinderdasdiagram voor ongewenste gevolgen

Sterkten en beperkingen van deze methode

Sterkten:

  • Het is eenvoudig te begrijpen en geeft een visueel beeld van het probleem;
  • Het focust de aandacht op het nemen van maatregelen voor preventie en bescherming en hun doeltreffendheid;
  • Het kan gebruikt worden voor opportuniteiten en gewenste gevolgen;
  • Het vereist geen hoge mate van expertise voor een goed gebruik.

Beperkingen:

  • Het toont geen gedetailleerd tijdsverloop, het duidt niet waar meerdere oorzaken gelijktijdig optreden om hun pad in gang te zetten (Wel kan men gebruik maken van EN-poorten en OF poorten in de foutenboom.);
  • Het gevaar van oververeenvoudiging bestaat, bijvoorbeeld wanneer men kwantificatie probeert te forceren waar het niet op een gemakkelijke manier lukt.

De 4 geboden van risicomngt, de waarden van een organisatie en Informatieveiligheid

admin

Auteur: Manu Steens en Joris Bouve met dank aan Hilde Van Nijen

De belangrijkste bedoeling van informatieveiligheid is m.i. het risico-besef (awareness) van de medewerkers. De mens is immers de zwakste schakel. Risico-besef gaat zowel in twee richtingen. Enerzijds gaat dit over awareness van de business m.b.t. informatieveiligheid: waar knelt het schoentje en wat kan technisch en wat moet je zelf doen. Anderzijds gaat het ook over de awareness van de ICT mensen: wat moeten zij weten dat de business belangrijk vindt en wat niet. Meer doen is dikwijls onverantwoord en geeft aanleiding tot “geld over de balk gooien”.

Wat & Waarom?

Het doel van informatieveiligheid is zorgen voor de betrouwbaarheid van informatiesystemen.  Die betrouwbaarheid wordt bekeken vanuit volgende drie invalshoeken:

  • Vertrouwelijkheid (Confidentiality): het waarborgen dat informatie alleen toegankelijk is voor diegenen, die hiertoe zijn geautoriseerd
  • Integriteit (Integrity): het waarborgen van de correctheid en volledigheid van de informatie.
  • Beschikbaarheid (Availability): het waarborgen dat geautoriseerde gebruikers op de juiste momenten tijdig toegang hebben tot de informatie/informatiesystemen

Dit kan natuurlijk alleen maar door een samenhangend pakket van maatregelen te treffen, te onderhouden en te controleren. Het gaat over het algemeen over informatie die is opgeslagen in informatiesystemen, maar ook opgeslagen kan zijn in papieren dossiers.

Het informatieveiligheidsbeleid van de organisatie is erop gericht om, op basis van risicomanagement, te verzekeren dat de informatie van de organisatie correct en volledig is en tijdig toegankelijk voor de geautoriseerde personen.

Hoe?

Om op een adequate wijze aan informatieveiligheid, te doen, moeten maatregelen uitgewerkt worden om de confidentialiteit (C), integriteit (I) en de beschikbaarheid (A: availability) te kunnen borgen.
Het is niet eenvoudig om hiervoor algemeen geldende criteria vast te leggen, omdat deze kunnen verschillen van departement tot departement binnen een organisatie, zelfs tussen teams binnen een departement kunnen de noden anders liggen.

Deze maatregelen moeten bovendien inspelen op volgende domeinen:

  • Mensen en Middelen,
  • Inhoud,
  • Systemen
  • Samenwerking (op procesniveau en overkoepelend).

Als hulpinstrument hebben wij hiervoor onderstaande matrix uitgewerkt. In deze matrix worden de vier domeinen benaderd vanuit de drie invalshoeken. Voor elke combinatie hebben wij een aantal richtvragen opgesteld. Voor deze richtvragen hebben wij ons geïnspireerd op de “vier geboden van risicomanagement” (zie verder). Met deze richtvragen kan ieder personeelslid aan de slag. Maar deze richtvragen zijn ook uitermate geschikt om een duidelijker zicht te krijgen op informatieveiligheid (zowel vanuit het standpunt van de “business” als vanuit het standpunt van IT).

Mensen en middelen Samenwerking op procesniveau en overkoepelend Systemen Inhoudelijk
C Wat deel je met wie? Welke toegangen heb je nodig? Kent iedereen de veiligheids-verantwoordelijke? Wat is de bedoeling van het management met hun informatieveilig-heidsbeleid? Blijft de vertrouwelijke informatie binnen vertrouwelijke kringen? Zijn deze kringen door iedereen gekend? Welke zaken moet je kunnen om tot de systemen toegelaten te worden? Is hiervoor een achtergrond-onderzoek nodig? Wie coördineert dit? Aan welke veiligheidsgerelateerde wetten moet je organisatie voldoen  (privacy, ISO-normen, BCM,…)?
I Heeft iedereen goede bedoelingen? Is hiervoor een achtergrond-onderzoek nodig? Zijn de processen uitgetekend en gecontroleerd op bugs en fouten? Werd de flow van het proces getest? Worden de systemen regelmatig onderhouden en getest? Is dat nodig? Hoe belangrijk is de juistheid van de inhoud? Gebruik je vrijwillige foutenintroductie ten behoeve van de vertrouwelijkheid?
A Welke mensen en zaken heb je nodig om je werk veilig te kunnen doen? Wat met een uitval van systemen? Mensen? Gebouwen? Faciliteiten? Leveranciers? Is er een Risicoanalyse gemaakt voor informatieveiligheid? Wie heeft fysieke toegang tot welke systemen? Wie heeft logische toegang tot welke systemen? Wanneer? Is er een SLA met leverancier? Wanneer heb je de informatie nodig? Zijn deze afhankelijk van het tijdstip in het jaar?

 

Antwoorden op deze vragen zijn dan de criteria waaraan informatieveiligheid binnen de organisatie moet voldoen.

De vier geboden van risicomanagement en vier waarden: openheid, daadkracht, vertrouwen en wendbaarheid

Risico-beseffend gedrag is terug te brengen tot de volgende vier geboden:

  1. Berokken jezelf geen schade, tenzij je er beter van wordt;
  2. Berokken niemand schade, tenzij hij/zij er beter van wordt;
  3. Maak niets stuk, tenzij je met de onderdelen iets beter kan maken;
  4. Grijp je kansen, tenzij dit in strijd is met regels 1, 2 of 3.

Deze vier geboden zijn

  • eenvoudig
  • gemakkelijk te onthouden
  • duidelijk toepasbaar

Bovendien zijn deze geboden vrij eenvoudig te linken aan de waarden van een organisatie. Ter illustratie geven we hier hoe deze passen binnen de waarden openheid, daadkracht, vertrouwen en wendbaarheid.

Openheid:

Regel 2: berokken niemand schade is hierop van toepassing. Bijvoorbeeld openheid van bestuur is maar geldig zolang iemand betrokken partij is. Ook de privacywetgeving huldigt dit principe dat een persoon beroep kan aantekenen tegen de verwerking van zijn gegevens. Bovendien staat de privacywetgeving vooral toe om met statistieken naar buiten te komen, niet om hart en ziel van een individu tegen zijn zin bloot te leggen. Er mag dus transparantie zijn, maar met de juiste mate: de mate waarin je niemand kwetst.

Daadkracht:

Regel 3: maak niets stuk en regel 4: grijp uw kansen. Daadkracht binnen de organisatie is scheppend bedoeld. Om de klant beter te dienen kan het evenwel nodig zijn om daadkrachtig te zijn en bestaande structuren af te breken en betere structuren te bouwen. Daarvoor moet men de wegen binnen de organisatie kennen om doeltreffend op te kunnen treden. En als men de doelen kent en de weg er naar toe, is het zaak om de kansen te grijpen.

Vertrouwen:

Regel 2: berokken niemand schade en regel 1: berokken jezelf geen schade. In de organisatie is het van ultiem belang dat iedereen in hen vertrouwen heeft. Dit geldt zowel voor de klant als voor de medewerkers. Je moet voldoende zelfvertrouwen hebben dat je de goede kant uit gaat met wat je voor de markt doet. Indien daarbij mensen elkaar zinloos pijn doen, zal dit vertrouwen snel geschonden worden.

Wendbaarheid:

Dit betekent dat bij regels 1 tem 4 steeds uitzonderingen kunnen horen.

Maar het betekent ook regel 4: grijp je kansen. Even afdwalen van de gekozen weg kan een aantal voordelen opleveren die je anders had laten liggen. Goed uitkijken naar opportuniteiten en deze aanpakken is dus eveneens de boodschap !

Risico-identificatiebenadering

admin

Auteur: Manu Steens

Deze methode, sluit aan bij de COSO-ERM-aanpak als het gaat om centraal stellen van de doelstellingen van de onderneming en het entiteitsbreed identificeren van zowel statische als dynamische risico’s.

De structuur is een matrix die wordt vorm gegeven door enerzijds de doelstellingen (Strategische en operationele doelstellingen) en anderzijds mogelijke interne en externe factoren, de quick scan.

Deze matrix-aanpak bevordert de volledigheid van de risico-identificatie en geeft een structuur voor de ordening van de risico’s.

Meer bepaald ziet de risicomatrix er uit zoals hieronder weergegeven:

volgnr Aspecten Quick Scan bevindingen Risico’s: incident, kans, schadeoorzaak en schadegevolg vermelden
Strategische doelstellingen SD1 SD2
Operationele doelstellingen OD1-1 OD1-2 OD2-1 OD2-2
1 Procesmanagement
2 Belanghebbendenmanagement
3 Monitoring
4 Organisatiestructuur
5 Human Resources Management
6 Organisatiecultuur
7 Informatie en communicatie
8 Financieel management
9 Facilitymanagement
10 Informatie en communicatietechnologie
11 Externe factoren

Door deze matrix in te vullen beantwoordt de CRO drie essentiële vragen:

  1. Welke doelstellingen van de entiteit zijn onderwerp voor onderzoek?
  2. Welke onderdelen / aspecten van de organisatie zijn onderwerp voor onderzoek?
  3. In welke risico’s wordt nader inzicht gewenst?

In een eerste stap wordt aan de hand van een quick scan globaal nagegaan aan welke potentiële risico’s de entiteit bloot staat.

Als tweede stap zal de CRO op systematische wijze moeten nagaan welke van de in de quick scan onderkende risicoprobleemvelden in zijn bedrijf voorkomen en welke een nader onderzoek vergen. Daarvoor moet hij de desbetreffende interne en externe deskundigen en het management team bevragen.

Het uitwerken van een quick scan kan doorgaans door een bevraging te doen bij de deskundigen, wat zij globaal zien als realistische risico’s ivm de aspecten van de leidraad. Dit kan verder aangevuld worden met een deskresearch waarbij gebruik gemaakt wordt van jaarverslag, audit rapporten, risico-inventarissen van arbeidsveiligheid, brandpreventieplannen, continuïteitsplannen, incidentenregistraties, schadehistoriek inclusief registratie van bijna schaden.

Nadien wordt de matrix “gewogen” tav de quick scan in stap 2, waarbij duidelijk gekozen moet worden welke risico’s vat hebben op welke strategische en operationele doelstellingen. In periodieke interviews met het management team wordt dan gevraagd welke risico’s zij zien, hoe deze risico’s de organisatie beïnvloeden en wat er wordt gedaan om deze te beheersen. Een insteek van bestaande beheersmaatregelen kan eerder reeds opgenomen worden in de quick scan.

BCM – Hoe bepaal je de kriticiteit van een proces in een BIA?

admin

Auteurs: Joris Bouve en Manu Steens

In BCM wordt veel gesproken over tijdskritieke processen (TKP), essentiële processen (EP) en noodzakelijke processen (NP).

Typisch gebruikt men als definitie:

  • TKP: die processen die binnen de twee werkdagen moeten heropstarten;
  • EP: die processen die niet binnen twee dagen maar wel binnen de twee weken moeten heropstarten;
  • NP: die processen die niet binnen twee weken maar wel binnen twee maanden moeten heropstarten.

Hoe kritiek een proces is, kan je ook op een andere wijze benaderen: als de impact van een te lang uitliggen (vb. > 2 dagen) van het proces te groot wordt, dan moet je het proces snel (vb. in < 2 dagen) terug opstarten. De vraag hierbij is: hoe bepaal je de kriticiteit van een proces? Ga hiervoor als volgt te werk (zie tabel hieronder):

  • Lijst de processen op in de kolom [proces];
  • Bepaal de impact op je dienstverlening als het proces dreigt uit te vallen in de volgende kolommen.
    1. Als de impact van die aard is dat de dienstverlening ernstig in het gedrang komt bij een uitval die meer dan 2 dagen zou duren of als er een wettelijke bepaling is die een heropstart vereisen binnen een termijn van 2 dagen, omschrijf je die impact in de kolom [impact als uitval > 2 dagen]. in. Er is dan sprake van een tijdskritiek proces. In de kolom [kriticiteit proces] vul je dan TKP in.
      Als die impact klein is, vul in de kolom [impact als uitval > 2 dagen] “nihil”. Evt. kan je hier ook vermelden welke maatregelen je zal nemen om het effect minimaal te houden of op welke wijze je de beoogde dienstverlening toch kan garanderen
    2. Als de impact van die aard is dat de dienstverlening ernstig in het gedrang komt bij een uitval die meer dan 2 weken zou duren of als er een wettelijke bepaling is die een heropstart vereisen binnen een termijn van 2 weken, omschrijf je die impact in de kolom [impact als uitval > 2 weken]. in. Er is dan sprake van een essentieel proces. In de kolom [kriticiteit proces] vul je dan EP in.
      Als die impact klein is, vul in de kolom [impact als uitval > 2 weken] “nihil” in
    3. Als de impact van die aard is dat de dienstverlening ernstig in het gedrang komt bij een uitval die meer dan 2 maanden zou duren of als er een wettelijke bepaling is die een heropstart vereisen binnen een termijn van 2 weken, omschrijf je die impact in de kolom [impact als uitval > 2 maanden]. Er is dan sprake van een noodzakelijk proces. In de kolom [kriticiteit proces] vul je dan NP in.

 

  • In de kolom [afhankelijkheden] vul je aan welke expertises, logistieke middelen, IT-middelen, … je nodig hebt.
  • Zoals onder punt 2) beschreven, plaats je in kolom [kriticiteit proces] tot welke categorie het proces behoort: tijdskritiek, essentieel, noodzakelijk.

 

Proces Impact als uitval > 2 dagen Impact als uitval > 2 weken Impact als uitval > 2 maanden afhankelijkheden kriticiteit proces
[naam proces] [omschrijving] [omschrijving] [omschrijving]   TKP/EP/NP
           
           
           

 

Twee voorbeelden:

  • Proces Crisismanagement. Indien dit pas na een uur opstart, kan er reeds ernstige reputatieschade zijn o.a. door verkeerde communicatie in de media. Het moet dus zeker binnen de twee dagen opgestart worden. Deze commentaar (RTO = 1h) kan je dus plaatsen in de kolom ‘Impact als > 2 dagen’. De 2 kolommen ernaast hoeven niet meer ingevuld te worden. Bij de afhankelijkheden zet je bijv. de expertises, de vergaderzaal, laptops, smartphones, communicatiemiddelen etc. In de laatste kolom plaats je de beslissing van het gekozen type proces, in dit geval TKP.

 

  • Proces X moet in augustus binnen de 5 dagen kunnen opstarten, omdat anders een regel uit de wetgeving kan overtreden worden, met bijhorende boetes en reputatieschade. Dan kan deze commentaar gezet worden in de kolom ‘Impact als > 2 weken’ en kiest men voor het type proces ‘EP’. In de kolom ‘Impact als > 2 dagen’ kan men het woord ‘nihil’ plaatsen of bijvoorbeeld dat men nadien enkele overuren zal moeten presteren. Bij afhankelijkheden kan men bijv. communicatie met de bank, een administratieve medewerker en het juiste softwareprogramma schrijven.

Deze keuze van het type proces (TKP, EP of NP) kan dan een op een overgenomen worden in de Business Impact Analyse. De afhankelijkheden kunnen eveneens overgenomen worden.

Risico management strikt genomen – Key Risk Indicatoren en risk intelligence

admin

Auteur: Manu Steens

Een belangrijk begrip in strategisch risicomanagement is dat van risk intelligence.

Risk intelligence is een “systematisch proces voor het vergaren en analyseren van informatie over de risico’s van de organisatie haar business, om daarop gebaseerd strategische beslissingen te kunnen nemen om het daarna beter te doen als business in een competitieve omgeving.” Het is dus een mogelijk antwoord op competitive intelligence van mogelijke tegenstanders.

Zoals het hier staat is het dus uitgebreider dan een klassiek risicoanalyse proces met bijhorende acties. Het gaat om àlle relevante informatie.

De organisatie moet dus capabel zijn om gebeurtenissen en uitwendige impulsen voor wijzigingen te voorzien. Verder moet het een proces zijn, omdat risico’s veranderlijk zijn, en strategieën moeten aangepast kunnen worden, en omdat nieuwe risico’s voortdurend ontstaan.

Een van de mogelijke voorspellers zijn indicatoren: KPI en KRI (Key Performance Indicators en Key Risk Indicators). Ik bespreek hier de KRI. (let op: de KRI leveren informatie, de analyse van deze informatie moet dan nog steeds gebeuren door de owners van het risico.)

KRI op basis van outcomes

Key Risk Indicatoren zijn vaak effect indicatoren. Deze meten of de gestelde doelstellingen, de outcomes van de processen, gehaald zijn.

KRI op basis van outcomes, zijn effectindicatoren. Omgekeerd kunnen effectindicatoren beschouwd worden als een sub-klasse van de risico indicatoren. Men spreekt echter best van effectindicatoren tav mensen die avers zijn van risicomanagement als weer eens een topic die het management aanhangt.

Maar hoe bekom je dan effectindicatoren?

Strikt genomen door de outcomes te bepalen van het proces, het project, de doelstelling. Een truk om deze outcomes te bepalen is niet de output van de processen of projecten als laatste stadium te zien van de activiteit, maar het doel van de activiteit. Dit kan men door het proces / project te beschrijven in een of slechts enkele zinnen, en deze beschrijving te laten eindigen met een of meerdere vervolledigingen na het woord “opdat…” of “zodat…”.

Daar stel je criteria tegenover die je dan periodiek in het oog wil houden om te zien of ze overschreden worden, of een tendens vertonen, of een sprong maken e.d.m..

Een voorbeeld kan hier klaarheid scheppen.

Bij het de werking van een BCM manager is er een proces dat bij elke cyclus terug van start gaat. Deze cyclus kan men beschreven vinden in ISO 22301, maar eveneens in de GPG van TheBCI.org.

Een voorbeeld is dan voor crisiscommunicatie “Met eenduidige stem van de organisatie naar de media spreken ten tijde van crisis”. Dit is een doelstelling van het crisismanagement team, omdat het doel tijdens een crisis is dat de informatieoverdracht eenvoudig verifieerbaar is, juist, zo volledig mogelijk enz. en in overeenstemming met de vereisten van het moment. Het ongewenst gevolg dat je loopt is dan dat een aantal mensen onterecht de media te woord heeft gestaan met alle foute informatiestromen die daaruit kunnen volgen. Daarbij kan je dus een meting doen als volgt:

T = “Som van (Het aantal mensen dat (onterecht) de media te woord staat) van de crisissen die maand.”

Je kan dan de meting illustreren met smileys als volgt:

Groene smiley:                0 mensen

Gele smiley:                      gebruik je niet in deze

Rode smiley:                     1 of meer mensen

Grijze smiley:                    er was geen communicatie naar de media nodig wegens geen crisisafhandeling die maand.

KRI op basis van risicoanalyses

Maar er is nog een tweede klasse Key Risk Indicatoren, die zich niet baseren op de gestelde outcomes of doelen, maar die teruggrijpen naar de risicoanalyse van het proces, het project of de doelstelling(en).

Een uitleg van de werkwijze kan het eenvoudigst geïllustreerd worden aan de hand van de Bow-Tie risicoanalyse methode.

Bij de Bow-Tie methode kan men voorspellend te werk gaan door te kijken naar de linkerkant (preventieve kant) van de vlinderdas, waar men stevig heeft doorgeboord tot aan de grondoorzaken van een gewenste of ongewenste gebeurtenis.

Eens men de relevante oorzaken geïnventariseerd heeft, moet men criteria vaststellen waarbij deze oorzaken optreden. Bijvoorbeeld (hypothetisch) ongelukken bij boswachters piekt wanneer 15% van de boswachters minder dan 1 jaar ervaring hebben in de branche en hun begeleiders jonger zijn dan 30. Dan kan men een KRI opstellen voor HRM om na te gaan wat de leeftijd van de begeleiders is en de combinatie van de ervaring van hun gasten. Wanneer men dan bij een nieuwe aanwerving bij deze combinatie boven dit criterium uitkomt, kan men bijvoorbeeld een herorganisatie van peter-petekind doorvoeren.

Zoals men eenvoudig inziet, zijn deze KRI zeker belangrijk vanuit hun voorspellende kracht. Ze zijn voorspellend, waar de KRI op basis van outcomes eerder onder de loupe brengen dat er iets verkeerd gelopen is of er iets verkeerd aan het lopen is.

Dat voorspellende indicatoren het verschil kunnen uitmaken tussen slagen en falen in het beoogde effect, en ze gebaseerd zijn op de resultaten van de volledige risicoanalyse, is een reden om een volledige risicoanalyse te doen volgens het Amerikaans model.

Het belangrijke van de KRI is dat men de bestaande strategieën kan aanpassen en cours de route. Men kan anticiperen.