ISO 31000 Risicomanagement standaard uitgelicht

Nieuw referentiekader voor risicomanagement

Het idee om een algemene ISO-norm voor risicomanagement te ontwikkelen bestond eigenlijk al geruime tijd. Ruim 10 jaar geleden stelde Japan voor om het onderwerp in het werkprogramma van ISO op te nemen. Aanleiding was de zware aardbeving in Kobe in 1995 die Japan confronteerde met het belang van het inschatten van risico’s en het treffen van maatregelen om effecten van ongewenste gebeurtenissen te minimaliseren.

De geesten binnen ISO waren toen echter nog niet rijp voor een norm of richtlijn voor risicomanagement in het algemeen. Die terughoudendheid was met name ingegeven door angst bij het bedrijfsleven dat zo’n norm tot nieuwe (ongewenste) certificatie-activiteiten zou gaan leiden. Daarom werd gekozen voor een ‘veilige’ oplossing, namelijk de ontwikkeling van een Guide met termen en definities op het gebied van risicomanagement. De Guide was vooral bedoeld was om harmonisatie te bevorderen binnen het bouwwerk van ISO-normen. Er zijn namelijk tal van ISO-normen voor het managen en beoordelen van specifieke risico’s in bepaalde sectoren. Een uniform taalgebruik helpt dan al om vanuit die specifieke normen en richtlijnen een meer integrale kijk op risico’s te ontwikkelen. Maar het gemis aan een algemene richtlijn voor risicomanagement werd hierdoor nog niet weggenomen.

Nieuw voorstel

In 2005 werd door Japan en Australië gezamenlijk het voorstel gedaan om een algemene ISO-richtlijn voor de principes en implementatie van risicomanagement te ontwikkelen. Van meet af aan werd duidelijk gemaakt dat de beoogde richtlijn niet bedoeld was als basis voor certificatie. Daarnaast werd aangegeven dat het proces van risicomanagement centraal zou moeten staan in de richtlijn en niet een risicomanagementsysteem. Nederland heeft toen positief gereageerd op dat voorstel met de kanttekening dat de richtlijn een paraplufunctie zou moeten hebben voor bestaande en toekomstige ISO-normen en consistent zou moeten zijn met door en voor andere sectoren ontwikkelde normen, zoals die in de financiële sector. Het voorstel werd door de vereiste meerderheid van ISO-leden gesteund en medio 2005 werd de ISO-werkgroep Risk management opgezet. Voorzitter van die werkgroep was Kevin Knight uit Australië en het secretariaat wordt verzorgd door het Japanse normalisatieinstituut. In de werkgroep namen enkele tientallen experts deel uit ca. 25 verschillende landen en vanuit een aantal technische commissies van ISO en IEC. Nederland werd in de werkgroep vertegenwoordigd door Dick Hortensius (NEN) en Ed Mallens. Na 6 vergaderingen en een aantal stem– en commentaarrondes zijn in november 2009, ISO 31000 Risk management – Principles and guidelines en de herziene editie van ISO Guide 73 Risk management – Vocabulary gepubliceerd.

Lees meer...

Lees ook:
Nieuwe normen VOR & CSRD uitgelegd

risicoconcept iso31000

Onderdelen van de ISO 31000 standaard

De ISO 31000 standaard bestaat uit drie samenhangende onderdelen, te weten:

De principes van risicomanagement
Een framework of raamwerk voor risicomanagement
Het risico management proces

De principes van risicomanagement vormen het fundament. Enerzijds hebben deze betrekking op het risicobewustzijn van de organisatie, anderzijds hebben de principes betrekking op cultuur en menselijk gedrag (ook wel “soft control” genoemd). Dit zijn belangrijke principes want zonder overtuigingen draagvlak binnen de organisatie, is risicomanagement gedoemd te mislukken. Het raamwerk voor risicomanagement creëert een gemeenschappelijke taal. Het geeft richtlijnen omtrent de organisatie en procedures voor het aansturen van risicomanagement processen binnen de organisatie. Het derde deel gaat over het inhoudelijke proces van risicomanagement. Dit proces omvat onder meer het bepalen van de risico context, het identificeren, analyseren, evalueren en communiceren van risico’s.

Onderdelen ISO310000

Nadelen ISO 31000

ISO standaarden zijn gericht op het waarborgen van de kwaliteit van eindproducten. Een ISO norm voor risicomanagement brengt daardoor ook gevaren met zich mee. Het zou bijvoorbeeld de indruk kunnen wekken dat een organisatie optimaal omgaat met alle voorkomende risico’s en dat deze situatie vergelijkbaar is met een “In control Statement”. Dit zou tot misverstanden kunnen leiden. Daarnaast kan ISO 31000 leiden tot een papieren tijger, die los staat van de dagelijkse besturing van de organisatie. De experts die ISO 31000 geformuleerd hebben, onderkennen deze valkuil, maar kunnen weinig meer doen dan het zeer zorgvuldig formuleren van de norm. Zoals al aangegeven spreekt ISO 31000 daarom niet over een managementsysteem, maar over een framework.

Betekenis van ISO 31000 voor jouw organisatie

ISO 31000 kan vier functies hebben voor een organisatie. ISO 31000 kan dienen als:

Paraplu en integratiekader voor afzonderlijke managementsystemen voor specifieke risico’s, zoals kwaliteits-, milieu- en arbomanagement;
Brug tussen het management van financiële en fysieke risico’s;
Handvat voor organisaties die aan het begin staan van het invoeren van organisatiebreed risk management;
Spiegel voor organisaties die al een eind op weg zijn met risk management en eventueel een ander model gebruiken: wat kunnen zij nog leren en verbeteren op basis van ISO 31000?

De bekende valkuilen die voor andere ISO-systemen gelden liggen ook hier op de loer. Deze voorkom je uiteraard niet met scherpere definities. Het zijn immers mensen met hun percepties, die het risk management tot leven moeten brengen. Het subtiele verschil tussen management systeem en management framework zal de meesten ontgaan. Velen zullen dit als een overbodig synoniem beschouwen. Maar ook valkuilen op het gebied van de keuze van de scope, de relatie met andere ISO-systemen, werkend maken en de auditing liggen op de loer. Dat ligt niet aan de norm zelf, maar aan de wijze waarop deze wordt toegepast. Te vaak wordt het te ingewikkeld gemaakt.

Download de whitepaper van Consignium over ISO normering via de website van Consignium voor meer informatie!

Bron: QSN, KAM, ZBC, De Accountant, (foto) Unsplash

Gepubliceerd in Wet- & regelgeving

Geschreven op 6 Februari 2016 door