according to ISO 31000
Estimated reading time: 8 minuten
In een dun boekje van 88 blz legt de auteur zowel in het Engels als in het Duits ISO31000 uit. Weer een ander handboek zal u zeggen. Ja, maar ditmaal gaat het over versie 2018 en in dit boekje ligt er enige nadruk op kleine en middelgrote organisaties. Uiteindelijk mag men niet vergeten dat het implementeren van een ISO norm zoals ISO 31000 voor een kleine of middelgrote organisatie een relatief veel grotere inspanning is dan voor een grote organisatie, die er een VTE (VolTijdse Eenheid) of een heel team op kan zetten. Daarom zijn enkele vereenvoudigingen nodig, zonder echter aan de kern van de boodschap van de norm te raken. Daarmee is deze aanpak dan ook ineens een Quick start voor de groteren. Die Quick start wordt gerealiseerd in drie stappen die de onderneming moet nemen:
“Establishing the Framework” (Opzetten van het Raamwerk)
“Establishing the Process” (Opzetten van het Risico Proces)
“Implementing and Executing the Risk Management Loop” (Implementeren en Uitvoeren van de Risico Management Loop)
Maar waarom moeten we dit doen? Het doel van risicomanagement volgens deze nieuwe norm is waardecreatie en waardebescherming. Dat leest u juist. Risicomanagement is te beschouwen als een meerwaarde en niet als een kost. Ook als een beschermingsfactor, o.a. door kosten te vermijden, of te minimaliseren, brengt het op. Die meerwaarde kan enorm zijn. Ook door de verplichtingen en aansprakelijkheden van het management voor nalatigheden van de organisatie, door bijvoorbeeld het ondersteunen van een goede, correcte en gedragen governance.
Het boekje begint met een redelijk uitgebreide introductie, die start bij ISO 31000 versie 2009 en het succes dat er van uitging.
Het doel van het boek is niet om een uitgebreide beschrijving te geven van de implementatie van ISO 31000 zoals die moet uitgewerkt worden door de grote organisaties (met zijn drie pijlers: raamwerk, principes en proces).
De principes, zijn in feite de succesfactoren of succes criteria van het risicomanagement en dienen het uiteindelijke doel: het creëren en beschermen van waarde.
De twee belangrijkste principes hierbij zijn volgens de auteur “Integrated” en “customized”.
Het is de bedoeling om de eerste kennismaking met ISO 31000 toegankelijker te maken voor de kleine en middelgrote organisaties. Er staat dan ook geen uitgebreid of gedetailleerd advies in. Wel een aantal zaken die uitgewerkt moeten worden om te kunnen spreken van een volwaardig risicobeheer, maar dat kan vaak met de kennis, vaardigheden en middelen die reeds aanwezig zijn in de organisatie. Daardoor wordt dit project ook draaglijk voor een kleine organisatie. Voor hen is deze handleiding dan ook reeds een eerste aanzet van aanpakmethode op maat.
Kijken we even naar deze drie stappen.
Opzetten van het Raamwerk: Dit stuk is wellicht het onderdeel van de norm dat het meest open staat voor maatwerk.
Het raamwerk moet immers op maat zijn van de organisatie, dat spreekt voor zich. De auteur legt daarbij nadruk op twee pijlers ervan, namelijk leiderschap (effectiviteit vereist immers een sterk en volhardend commitment van alle niveau’s van management d.m.v. een beleidsdocument of zoiets, dat duidelijk stelt wat de objectieven van de oranisatie zijn alsook dit commitment) en organisatiecultuur. Hierbij is het zogenaamde ETTO-principe van belang. ETTO staat voor “Effectivity – Thoroughness Trade Off”. () Er moet namelijk een evenwicht ingesteld worden tussen effectieve business, en hoe doordacht het risicobeheer is. Als er teveel “doordenken” is volgens de kaart van risicobeheer, is dit nadelig voor de effectiviteit van de business. Als echter de business teveel de kaart trekt van effectief en efficiënt handelen, bijv. door te overdrijven met “lean”, kan dit het risicoafhandeling en -voorkoming benadelen. Bijv. door het elimineren van elke vorm van redundantie. Trade Off betekent dus eigenlijk dat er een gulden middenweg moet gevonden worden. Risicomanagement moet dus binnen de grenzen van het ETTO principe ingebracht worden in de organisatie, in al haar processen en op alle niveau’s op een gedragen manier. Dus moet het op maat zijn van de organisatienoden en -cultuur.
Verder motiveert de auteur dat risicobeheer tevens kan gemapt worden op alle organisatorische activiteiten als een plug-in dongle.
Het opzetten van het Risico Proces: Het risico management proces moet integraal deel uit maken van alle structuren en activiteiten. D.w.z. van het organigram, de operations, het businessmodel, en de processen. Het raamwerk moet dus in principe herbekeken worden bij elke wijziging aan een business proces. De kern van het risicobeheerproces is echter risico assessment en implementatie van de maatregelen: risico identificatie, risico analyse, risico evaluatie en risicobehandeling. Dit gebeurt in een iteratief proces. Feitelijk bestaat het dus uit twee processen: de PDCA cyclus ter aanpassing van het risicobeheerproces enerzijds en het operationele risicobeheer dat moet plaatsgrijpen bij alle organisatorische processen en projecten anderzijds.
Dit risico assessment wordt verder uitgebreid besproken qua mogelijke technieken in ISO 31010:2009. De beslissingen die dan kunnen genomen worden kunnen samengevat worden door:
- Vermijden van het risico
- Nemen of verhogen van het risico
- Verwijderen van de risico-oorzaak
- Wijzigen van de kans
- Wijzigen van de gevolgen
- Delen van het risico met een of meerdere andere partijen
- Weerhouden van het risico met een geïnformeerde beslissing
Parallel aan deze cycli gebeurt er rapportering, waarbij teveel details kunnen zorgen voor verwarring of een vals veiligheidsgevoel. Hier geldt dus “less is more”.
Implementeren en Uitvoeren van de Risico Management Loop: Het is om meerdere redenen best om de risico management loop te gebruiken tijdens het design en de implementatie van de (kern)processen van een organisatie: lagere kosten, minder inspanning, en synergie tussen de processen en de risico loop. Idealiter zijn deze processen reeds samengebracht in een manual van de organisatie. Deze risico loop wordt best ingebracht in de processen bij aanvang van het proces waarbij informatie of schattingen worden gebruikt. Het wordt best herhaald wanneer er nieuwe informatie wordt toegevoegd, of er nieuwe schattingen worden gemaakt, of bij wijzigingen aan het procesverloop. De risico eigenaar voor dit proces of dit deel van het proces beschouwt dan best voordat hij de eerste stappen van het business proces uitvoert of er een onzekerheid het proces en haar outcomes en objectieven beïnvloedt of kan beïnvloeden.
Een eerste maturiteitsniveau van risicobeheer door introductie van de risicobeheerloop m.b.v. check lists zal een gigantische eerste stap zijn om te beginnen met een effectief en efficiënt risicobeheer. Een even grote stap is mogelijk door het integreren van risicobeheer van een silo-activiteit dat eenvoudigweg risico’s registreert op regelmatige basis naar een pro-actief en geïntegreerd risicobeheer volgens ISO 31000:2018.
Interne Audit moet eveneens geïntegreerd worden, of anders gezegd, gealigneerd worden, met het risicobeheer en dat op alle vlakken: alle activiteiten en alle processen. Dit beïnvloedt eveneens de planning van projecten en processen en operaties. Het monitort de uitvoering van de risico management loop binnen de business processen en activiteiten. Omgekeerd kunnen de resultaten van het risicomanagement de planning van Interne Audit beïnvloeden.
Een risico register is een veelgebruikte methode voor het monitoren, herzien, registreren en rapporteren van risico’s.
Continue Verbetering
Het toepassen van de PDCA cyclus, ook gekend als de Deming cyclus, zal de risico management loop verbeteren en verfijnen in de loop van de tijd. Daardoor haalt het op termijn een hoger niveau van maturiteit. Risicobeheer, zoals alle skills, vraagt immers ook training, ervaring, kennis en kundigheid en staat ook open voor continue verbetering, juist door die PDCA cyclus. Daarbij zullen stelselmatig de skills verbeteren door gebruik te maken van complexere maar beter geschikte assessmenttechnieken uit ISO 31010:2009. (10000 uren regel van Malcolm Gladwell: Outliers. The story of Success, New York 2008)
Vond u deze boekbespreking waardevol? Ontdek dan ook deze gerelateerde artikels voor meer inspiratie en inzichten: