Onderdelen van de ISO 31000 standaard
De ISO 31000 standaard bestaat uit drie samenhangende onderdelen, te weten:
- De principes van risicomanagement
- Een framework of raamwerk voor risicomanagement
- Het risico management proces
De principes van risicomanagement vormen het fundament. Enerzijds hebben deze betrekking op het risicobewustzijn van de organisatie, anderzijds hebben de principes betrekking op cultuur en menselijk gedrag (ook wel “soft control” genoemd). Dit zijn belangrijke principes want zonder overtuigingen draagvlak binnen de organisatie, is risicomanagement gedoemd te mislukken. Het raamwerk voor risicomanagement creëert een gemeenschappelijke taal. Het geeft richtlijnen omtrent de organisatie en procedures voor het aansturen van risicomanagement processen binnen de organisatie. Het derde deel gaat over het inhoudelijke proces van risicomanagement. Dit proces omvat onder meer het bepalen van de risico context, het identificeren, analyseren, evalueren en communiceren van risico’s.
Nadelen ISO 31000
ISO standaarden zijn gericht op het waarborgen van de kwaliteit van eindproducten. Een ISO norm voor risicomanagement brengt daardoor ook gevaren met zich mee. Het zou bijvoorbeeld de indruk kunnen wekken dat een organisatie optimaal omgaat met alle voorkomende risico’s en dat deze situatie vergelijkbaar is met een “In control Statement”. Dit zou tot misverstanden kunnen leiden. Daarnaast kan ISO 31000 leiden tot een papieren tijger, die los staat van de dagelijkse besturing van de organisatie. De experts die ISO 31000 geformuleerd hebben, onderkennen deze valkuil, maar kunnen weinig meer doen dan het zeer zorgvuldig formuleren van de norm. Zoals al aangegeven spreekt ISO 31000 daarom niet over een managementsysteem, maar over een framework.
Betekenis van ISO 31000 voor jouw organisatie
ISO 31000 kan vier functies hebben voor een organisatie. ISO 31000 kan dienen als:
- Paraplu en integratiekader voor afzonderlijke managementsystemen voor specifieke risico’s, zoals kwaliteits-, milieu- en arbomanagement;
- Brug tussen het management van financiële en fysieke risico’s;
- Handvat voor organisaties die aan het begin staan van het invoeren van organisatiebreed risk management;
- Spiegel voor organisaties die al een eind op weg zijn met risk management en eventueel een ander model gebruiken: wat kunnen zij nog leren en verbeteren op basis van ISO 31000?
De bekende valkuilen die voor andere ISO-systemen gelden liggen ook hier op de loer. Deze voorkom je uiteraard niet met scherpere definities. Het zijn immers mensen met hun percepties, die het risk management tot leven moeten brengen. Het subtiele verschil tussen management systeem en management framework zal de meesten ontgaan. Velen zullen dit als een overbodig synoniem beschouwen. Maar ook valkuilen op het gebied van de keuze van de scope, de relatie met andere ISO-systemen, werkend maken en de auditing liggen op de loer. Dat ligt niet aan de norm zelf, maar aan de wijze waarop deze wordt toegepast. Te vaak wordt het te ingewikkeld gemaakt.
Download de whitepaper van Consignium over ISO normering via de website van Consignium voor meer informatie!
Bron: QSN, KAM, ZBC, De Accountant, (foto) Unsplash