Incepta@IT B.V. IT-Consultant Projectmanagement. Consultancy in Almere

Tag: compliance

  • Bowtie risicomanagement: helder inzicht in risico’s, in één oogopslag

    Veel risicoanalyses eindigen als een document dat na één lezing in een la verdwijnt. De bowtie methode werkt anders: één schema dat oorzaken, maatregelen en gevolgen tegelijk in beeld brengt en dat is iets dat iedereen in de kamer begrijpt, ook buiten de risicomanagementafdeling of werkgroep.

    Dat verklaart waarom de methode in zoveel sectoren opduikt: van veiligheidsmanagement en operationeel risicomanagement tot IT-projecten en compliance-vraagstukken.

    Wat is bowtie risicomanagement?

    Bowtie risicomanagement is een methode om risico’s visueel weer te geven. Het model heeft de vorm van een vlinderdas, vandaar de naam bowtie.

    In het midden staat de centrale gebeurtenis: het moment waarop het risico werkelijkheid wordt. Links staan de dreigingen of oorzaken die daartoe kunnen leiden. Rechts staan de mogelijke gevolgen.

    Daartussen komen de beheersmaatregelen: preventieve maatregelen aan de linkerkant voorkomen dat het misgaat, mitigerende maatregelen aan de rechterkant beperken de schade als het toch gebeurt.

    Zo zie je in één schema het risico zelf, welke barrières de organisatie heeft ingericht én waar die barrières ontbreken.

    Herkomst van de bowtie methode

    De methode heeft haar wortels in de olie- en gasindustrie. Shell ontwikkelde de aanpak in de jaren negentig als hulpmiddel voor het beheersen van procesrisico’s in gevaarlijke omgevingen. Het Energy Institute (Londen) formaliseerde de methode later en publiceerde in 2008 de eerste uitgebreide richtlijn: Bowtie methodology: A Guide to Best Practice. Sindsdien is de methode overgenomen in uiteenlopende sectoren, van luchtvaart en chemie tot gezondheidszorg en IT.

    Hoe werkt een bowtie-analyse?

    Concreet voorbeeld met een cyberrisico als centrale gebeurtenis (bijv. datalek), dreigingen zoals phishing en zwak wachtwoord, en maatregelen zoals MFA en encryptie. Maakt de methode direct toepasbaar voor de IT-doelgroep.

    Een bowtie-analyse brengt een risico in zes stappen in kaart:

    1. Kies een risico of scenario — bepaal welk risico je wilt analyseren.
    2. Benoem de centrale gebeurtenis — het moment waarop het misgaat.
    3. Inventariseer de dreigingen — welke oorzaken kunnen tot die gebeurtenis leiden?
    4. Breng preventieve maatregelen in kaart — wat voorkomt dat het gebeurt?
    5. Beschrijf de gevolgen — wat is de impact als het toch misgaat?
    6. Benoem mitigerende maatregelen — wat beperkt de schade?

    Zo brengt bowtie risicomanagement in één schema in

    Waarom kiezen organisaties voor de bowtie methode?

    De bowtie methode combineert eenvoud met diepgang. Begrijpelijk voor een breed publiek, sterk genoeg voor complexe risico’s.

    Veel risicoanalyses bestaan uit uitgebreide tabellen of lange documenten die niemand meer openslaat. Een bowtie maakt direct zichtbaar hoe oorzaken, maatregelen en gevolgen samenhangen, in één overzichtelijk schema, zonder dat je tien pagina’s hoeft door te spitten.

    De methode verandert ook hoe teams over risico’s praten. In plaats van gevaren opnoemen, stel je de vraag of bestaande maatregelen echt voldoende zijn. Dat levert andere gesprekken op dan een spreadsheet met RAG-statussen.

    Zwakke plekken zijn snel zichtbaar: waar ontbreken maatregelen, waar staat er maar één barrière tussen dreiging en gevolg? En omdat het schema visueel is, werkt het in presentaties, audits en trainingen, ook voor mensen zonder een Risicomanagement achtergrond.

    Wanneer gebruik je bowtie risicomanagement?

    Bowtie risicomanagement is breed toepasbaar: veiligheidsrisico’s, operationele risico’s, technische storingen, cyberrisico’s, kwaliteitsrisico’s, compliance-vraagstukken en projectrisico’s. De methode is het meest waardevol bij scenario’s met grote impact — waarbij veiligheid, continuïteit of reputatie op het spel staat.

    Iconen of visueel overzicht van de zeven toepassingsgebieden (veiligheid, IT, kwaliteit, compliance, etc.). Maakt de breedte van de methode in één oogopslag duidelijk.

    Een voorbeeld uit de praktijk: voor een opdrachtgever met een besloten netwerkomgeving voerden we een bowtie-analyse uit rondom netwerkuitval. De centrale gebeurtenis: het netwerk valt uit. Links in het schema kwamen de dreigingen in beeld, dit ging van technische storingen tot ontbrekende of onvoldoende procedures en richtlijnen, waardoor medewerkers bij uitval niet weten hoe te handelen.

    Rechts stonden de gevolgen. De operationele impact was direct duidelijk, maar wat de analyse ook blootlegde: bij uitval zonder heldere externe communicatie kan reputatieschade ontstaan. Klanten die niet tijdig worden geïnformeerd, trekken dan hun eigen conclusies. Dat risico was vooraf niet als zodanig benoemd.

    De mitigerende maatregelen aan de rechterkant van de bowtie richtten zich daarom op twee sporen: technisch herstel én communicatie. Een communicatieprotocol, wie informeert wie, wanneer en met welke boodschap, werd als expliciete maatregel opgenomen naast de technische herstelstappen.

    Voordelen van bowtie risicomanagement

    De voordelen van bowtie risicomanagement zijn het grootst voor organisaties die risico’s actief willen beheersen, niet alleen registreren.

    Een bowtie brengt een risico compact in beeld en toont direct welke barrières aanwezig zijn — en welke ontbreken. Daardoor wordt het stellen van prioriteiten concreter: je ziet niet alleen waar het goed zit, maar ook waar het dun is. Risico’s worden bespreekbaar buiten de bijvoorbeeld de risicoanalyse werkgroep, omdat het schema geen specialistische kennis vereist om te lezen. En de methode werkt even goed voor analyse als voor communicatie, training en evaluatie.

    Aandachtspunten bij een bowtie-analyse

    De bowtie methode oogt eenvoudig, maar de kwaliteit staat of valt met de inhoud. Een goede analyse vraagt om scherpe keuzes en realistische inzichten.

    Formuleer de centrale gebeurtenis helder en benoem dreigingen zo concreet mogelijk. Controleer of maatregelen echt effectief zijn, maak onderscheid tussen preventieve en mitigerende maatregelen en leg verantwoordelijkheden duidelijk vast.

    Een bowtie is daarmee geen mooi schema om te bewaren, het wordt daarmee echt een werkinstrument.

    Bowtie als continu hulpmiddel

    De methode stopt niet bij de analyse. Organisaties die er het meeste uithalen, gebruiken een bowtie als terugkerend referentiekader, ze gebruiken het als basis voor audits, verbeteracties, incidentevaluaties en periodieke reviews van beheersmaatregelen. In projecten werkt het ook goed als gedeeld risicoschema voor het hele team.

    Afsluitend

    Bowtie risicomanagement brengt dreigingen, maatregelen en gevolgen samen in één model. Het geeft snel overzicht, maakt risico’s bespreekbaar en laat zien waar de organisatie staat, zowel op papier als in de praktijk.

    Wil je risico’s duidelijker in beeld brengen? Dan is de bowtie methode een goed startpunt. 

    Heeft jouw organisatie hulp nodig bij het opzetten van een risicoanalyse? Wil je graag zien hoe dit in de praktijk werkt? Neem contact met ons op!