ISO - 31000

U wilt uw risk management verbeteren, al dan niet conform ISO 31000. Vaak vormen eisen van toezichthouders, financiers en/of andere stakeholders de aanleiding voor deze stap. Zij willen steeds meer transparantie en zekerheid. U wilt echter geen papieren tijger creëren en ook niet teveel kosten maken. In tegenstelling tot andere managementsystemen is risk management een operationeel proces voor de directie of RvB. Bij ieder besluit om te investeren in middelen of projecten zal een risicoafweging plaatsvinden. Risk management moet daarom vooral praktisch en pragmatisch zijn. Dat betekent dat u:

• risk management niet moet laten uitvoeren door experts, maar door bestuurders
• niet een nieuw eiland moet creëren, maar moet kiezen voor integratie
• niet het objectieve risico centraal moet stellen, maar de vraag “Is dat erg?”
• geen opportunistische, incident-driven aanpak moet hanteren
• een complexe aanpak moet voorkomen

Risk management omvat gecoördineerde activiteiten om een organisatie te sturen en te beheersen met betrekking tot risico’s. Belangrijk is vervolgens hoe risk management wordt ingebed in een organisatie. Er is bewust voor gekozen om het begrip “risk managementsysteem” daarbij te vermijden. De ervaring leert dat kwaliteits- en milieumanagementsystemen te vaak als aparte systemen in een organisatie worden geïmplementeerd, los van het ‘echte’ managementsysteem. Volgens één van de principes in ISO 31000 is risk management echter pas effectief als het een integraal onderdeel vormt van de processen in de organisatie. Daarom wordt ook wel het begrip “risk management framework” (raamwerk voor risk management) gebruikt. Het risk managementproces omvat niet alleen een systematische aanpak om risico’s te identi?ceren, te analyseren, te evalueren, te behandelen en te monitoren, maar ook alle consultatie en communicatie gedurende dat proces. Het raamwerk moet ervoor zorgen dat de resultaten van afzonderlijke risk managementprocessen zo nodig worden geconsolideerd op het juiste organisatieniveau als basis voor operationele of strategische besluitvorming.

Scope, doelgroep en structuur
ISO 31000 beschrijft principes en generieke richtlijnen voor de implementatie van risk management. Deze richtlijnen zijn bedoeld voor alle typen organisaties, ongeacht grootte en aard van de activiteiten. De principes en richtlijnen kunnen worden toegepast op een breed scala van activiteiten, projecten, producten en assets, maar zijn vooral bedoeld voor organisatie-breed risk management. ISO 31000 laat nadrukkelijk ruimte voor maatwerk, omdat men inziet dat risk management ‘tailor-made’ moet zijn. Logischerwijs is ook de doelgroep van ISO 31000 heel divers. Deze doelgroep bestaat uit personen die verantwoordelijk zijn voor het risk management van de gehele organisatie of van speci?eke onderdelen of activiteiten, en ook uit personen of instanties die er op toe moeten zien dat een organisatie haar risico’s goed bestuurt. Daarnaast is ISO 31000 bedoeld voor degenen die – binnen of buiten ISO – normen en richtlijnen ontwikkelen op het gebied van risk management.
ISO 31000 bestaat uit drie hoofdonderdelen: de principes van risk management, het risk management framework en het risk managementproces.

Principes van risk management
In het eerste ‘inhoudelijke’ hoofdstuk van ISO 31000 worden een aantal principes genoemd waaraan risk management zou moeten voldoen, wil het een effectief instrument worden voor een organisatie. In het kader staan de principes op een rijtje; in ISO 31000 wordt elk principe kort toegelicht. Gezamenlijk bestrijken deze principes een paar belangrijke kenmerken van risk management:

• het voegt waarde toe en draagt bij aan verbetering van de organisatie
• het is een integraal onderdeel van de (besluitvormings)processen
• het is maatwerk, past bij de context van de organisatie en volgt de veranderingen
• het is een systematisch en op feiten gebaseerd proces
• het is open en transparant en houdt rekening met menselijke en culturele factoren.

De eerste drie kenmerken vormen de basis voor het risk management framework. De laatste twee kenmerken zijn vooral terug te vinden in het risk managementproces.