Risicomanagement & ISO-standaarden: ISO 9001, 27001 en 31000

Er zijn veel verschillende ISO-standaarden die een risicomanagement element bevatten. Door het inrichten van een standaard wordt een bepaalde activiteit genormeerd en gestandaardiseerd waarmee bepaalde risico’s worden gemitigeerd. In dit artikel is er aandacht voor drie standaarden die veel met risicomanagement te maken hebben. Met als kern ISO 31000: de standaard voor risicomanagement.

Hoe is ISO ontstaan?

ISO staat voor een internationale standaard (norm) voor een bepaald onderwerp. ISO is in 1964 begonnen. Vijfentwintig landen ontmoetten elkaar in Londen met het doel een internationale organisatie te creëren die zou bijdragen aan de internationale coördinatie van industriële standaarden. Sindsdien zijn meer dan 22500 internationale normen gepubliceerd voor bijna alle aspecten van technologie en productie.

Officieel heet de ISO-organisatie ‘International Organization for Standardization’. Dit zou verschillende acroniemen in verschillende talen opleveren. Daarom is gekozen voor de universele afkorting ‘ISO’. Deze afkorting komt van het Griekse woord ‘isos’ wat ‘gelijk’ betekent.

Is het noodzakelijk?

Is het nodig om als bedrijf aan een norm te voldoen? Dat verschilt per branche. Een ziekenhuis zal voor haar ingekochte medicijnen en apparatuur als eis stellen dat de verkopende partij aan bepaalde ISO-eisen voldoet. Er zijn ook bedrijven die een ISO-certificering als onderscheidend vermogen in de markt gebruiken. Hiermee hebben ze een streepje voor op de concurrentie.

Naast een boost voor het imago voor de wereld om de organisatie heen, heeft de ISO-normen ook een positieve impact op de interne organisatie. De interne organisatie gaat beter en efficiënter te werken, het biedt meer structuur en de mogelijkheid sneller innovaties en aanpassingen door te voeren voor de organisatie. Is de organisatie gedreven om zelf in control te zijn, dan is de ISO een hulpmiddel. Het geeft de organisatie handvatten en laat haar denken en keuzes maken. Een certificaat is dan niet verplicht maar is een kleine extra stap.

Relevante ISO voor riskmanagement

De bekende standaarden in relatie risicomanagement zijn op dit moment de 9001 (kwaliteitsmanagement), 27001 (informatiebeveiligingsmanagement) en 31000 (risicomanagement). De drie normen worden hieronder besproken:

Lees meer...

Lees ook:
National risk assessment Witwassen en Terrorismefinanciering

ISO 9001

De ISO 9001 is wellicht de bekendste ISO-norm. Deze is de internationale norm voor kwaliteitsmanagementsystemen. De ISO 9001-norm is een van de documenten van de ISO 9000-"familie" van ISO. Het is niet de bedoeling van deze norm om uniformiteit van kwaliteitssystemen af te dwingen. ISO 9001 kan gebruikt worden om te beoordelen of de organisatie in staat is om te voldoen aan de eisen van klanten, de op het product van toepassing zijnde wet- en regelgeving en de eisen van de organisatie zelf. Daarnaast vormen de eisen met elkaar goede aanknopingspunten voor het opzetten en inrichten van een kwaliteitsmanagementsysteem.

ISO 27001

De ISO 27001 norm is de wereldwijde standaard voor informatiebeveiliging. De basis hiervoor is de implementatie van een informatiebeveiligingsmanagementsysteem. Hierin is onder andere vastgelegd welke beheers- en borgingsmaatregelen zijn getroffen met betrekking tot informatiebeveiliging. Hierbij staat naast het technische aspect van informatiebeveiliging, ook de rol van de mens centraal.

ISO 31000

De ISO 31000 heeft betrekking op risicomanagement. De standaard bestaat uit drie samenhangende onderdelen:

De principes van risicomanagement
Een framework of raamwerk voor risicomanagement
Het risicomanagement proces

De principes van risicomanagement vormen het fundament. Enerzijds hebben deze betrekking op het risicobewustzijn van de organisatie, anderzijds hebben de principes betrekking op cultuur en menselijk gedrag (ook wel “soft control” genoemd). Dit zijn belangrijke principes want zonder overtuigingen draagvlak binnen de organisatie, is risicomanagement gedoemd te mislukken. Het raamwerk voor risicomanagement creëert een gemeenschappelijke taal. Het geeft richtlijnen omtrent de organisatie en procedures voor het aansturen van risicomanagement processen binnen de organisatie. Het derde deel gaat over het inhoudelijke proces van risicomanagement. Dit proces omvat onder meer het bepalen van de risico context, het identificeren, analyseren, evalueren en communiceren van risico’s.

ISO-certificering voor jouw onderneming

Het behalen van een ISO-certificaat is goed mogelijk, mits er aan een paar eisen wordt voldaan. Als eerste moet de hele organisatie ervan bewust zijn dat dit noodzaak is. Het management moet alle steun geven om dit te bereiken (motivatie, middelen ter beschikking stellen). Als er nog geen beleidsstukken zijn, moeten deze worden ontwikkeld. Er moet regelmatig worden bekeken of de processen die zijn ingericht nog goed functioneren. Dit zorgt voor een check op regelmatige basis.

De organisatie moet ook enkele rollen gaan toebedelen als die nog niet zijn ingeregeld in de organisatie. Dit verschilt per ISO-norm welke rollen er verdeeld moeten worden (bijv. ISO 9001 heeft de kwaliteitsmanager). De rol mag worden belegd bij een bestaande functie (evt. een controller of lijnmanager). Het is aan te raden om een zo onafhankelijk mogelijk persoon te kiezen. Er moet kennis worden opgedaan van de betreffende ISO-norm, personen moeten tijd vrijmaken en soms wordt gekozen voor een externe partij om dingen te regelen.

Whitepaper

Dit artikel is tot stand gekomen in samenwerking met onze partner Consignium. Neem contact op met het team van Consignium voor meer advies op het gebied van ISO-certificeringen. Lid van Riskworld? Dan kan je hier de whitepaper downloaden.

Bron: (foto) Unsplash

Gepubliceerd in Whitepapers