ISO 31000 is vernieuwd! Maar wat is er veranderd?
Dinsdag 6 augustus 2019| Leestijd: 4 minuten | Silvie van de Haterd
ISO 31000 is een richtlijn voor risicomanagement welke inmiddels alweer tien jaar bestaat. De wereld van risicomanagement is sinds die tijd behoorlijk veranderd. Dit betekent dat het tijd is voor een update, welke inmiddels gelanceerd is. Ook de Nederlandse vertaling van de ISO 31000 is sinds kort beschikbaar. Wat is er veranderd? En wat betekent dat voor riskmanagers?
Risicomanagement met ISO 31000
Om risicomanagement uit te kunnen voeren, is het belangrijk te weten wat een risico nu eigenlijk is. In de eerdere versie van ISO 31000 staat de volgende definitie:
Risico is het effect van onzekerheid op het behalen van doelstellingen.
Dit is een vrij algemene benadering, en waardevrij. Een risico wordt dus niet per definitie als iets negatiefs neergezet. Het betekent dan ook dat de richtlijn gebruikt kan worden voor zowel het beheersen van bedreigingen en negatieve effecten als voor het benutten van kansen en positieve effecten.
In de vernieuwde versie van ISO 31000 is deze definitie niet aangepast, aangezien deze nog steeds de lading van de richtlijn dekt. Wel is het centrale doel aangepast. In de vernieuwde richtlijn is dit geformuleerd als:
Het realiseren en beschermen van waarde.
Oftewel, de prestaties van een organisatie, project of product verbeteren. Kern van de aanpak zit hem dus in het verbeteren, een positieve benadering.
ISO 31000: wat is er veranderd?
Allereerst kunnen we wel stellen dat de richtlijn behoorlijk gestroomlijnd is. Informatie die niet écht noodzakelijk is voor het uitvoeren van de richtlijn, is opgeschoond of verplaatst. Aan de hand daarvan zijn de acht principes waarop de richtlijn is gebaseerd, opnieuw geformuleerd. Voorheen waren dit elf principes, dus er is behoorlijk geschrapt. En van de acht die er overgebleven zijn, zijn er twee nieuw. In totaal zijn er dus vijf oude principes gesneuveld in de nieuwe richtlijn.
De nieuwe principes zijn:
Ook het aantal definities van belangrijke termen is in de vernieuwde ISO 31000 teruggebracht naar het noodzakelijke: er zijn er nog vier over. Dit zijn de definities van kans en effect, oorzaak, gebeurtenis en beheersmaatregelen. Deze definities zijn nodig om het risico-concept te beschrijven. Alle andere definities worden opgenomen in de nieuwe versie van ISO guide 73, de verklarende woordenlijst voor risicomanagement.
Integraal en Enterprise Risico Management met ISO 31000
Het belang om risicomanagement organisatiebreed in te zetten, wordt steeds groter. Binnen de vernieuwde richtlijn is er dan ook een hoofdstuk opgenomen over inbedding van risicomanagement binnen de gehele organisatie. Er is meer aandacht voor de rol van het topmanagement bij risicomanagement, er wordt nadruk gelegd op het belang van risicomanagement bij besluitvorming maar ook binnen alle bedrijfsprocessen. Dit sluit perfect aan bij de noodzaak van Enterprise Risk Management (ERM), maar zeker ook bij Integraal Risico Management (IRM). Hoe?
Bij ERM is het van belang dat risicomanagement deel wordt van het DNA van de organisatie. Het gaat er vooral om dat bij alle activiteiten en bedrijfsprocessen risicomanagement onderdeel is. Voor IRM geldt dat risicomanagement voor alle medewerkers binnen het bedrijf ‘leeft’. Iedereen moet gebruik kunnen maken van risicomanagement software: (top)management, riskmanagers maar ook uitvoerend personeel, bijvoorbeeld door het melden van (bijna-)incidenten. De ISO 31000 biedt een raamwerk waarbinnen dit allemaal kan landen.
Aansluitend daarop is binnen de vernieuwde richtlijn de beschrijving van het risicomanagementproces in relatie tot het raamwerk verbeterd. Zo wordt er duidelijk beschreven welke zaken meegenomen moeten worden binnen de scope van de verschillende processen. Op organisatieniveau is de scope anders dan bij specifieke processen. Op hoger niveau wordt onder andere rekening gehouden met specifieke omstandigheden, stakeholders, wetgeving en subdoelen, waar op dieper niveau meer details ingevuld moeten worden. Ook de evaluatie van risico’s wordt op deze manier voorzien van een kader. Daarnaast is er extra aandacht voor rapportage die gaan over risicomanagement, bijvoorbeeld richting stakeholders.
Aan de slag met risicomanagement én kwaliteitsmanagement
De vernieuwde ISO 31000 richtlijn is dus meer gestroomlijnd dan de voorganger en bevat onderwerpen die voor risicomanagement anno 2019 relevant zijn. De NEN, het instituut voor normalisatie, noemt de nieuwe ISO 31000 dan ook een teaser. Oftewel, een voorproefje op risicomanagement. Ga je aan de slag met risicomanagement, dan geeft de richtlijn de juiste handvatten zodat je beslagen ten ijs komt. Voor de gevorderde riskmanager kan de richtlijn dienen om te toetsen of het bestaande beleid voldoet. Daarnaast versterkt en verankert ISO 31000 risicomanagement binnen kwaliteitsmanagement. Aan een volledig handboek hiervoor wordt op dit moment hard gewerkt door de ISO-commissie.
Ben je benieuwd hoe ISO 31000 in het bijzonder, of risicomanagement in het algemeen, toegepast kan worden binnen jouw organisatie? Onze experts staan voor je klaar.
De ISO 31000 richtlijn, wat is het?
De ISO 31000 is een richtlijn, en dus geen certificering, die organisaties helpt om hun risicomanagement in goede banen te leiden. Het levert een raamwerk, principes en processen waarmee organisaties, ongeacht grootte, sector of bedrijfsactiviteit, risico’s kunnen managen. De richtlijnen zijn toe te passen op een grote verscheidenheid aan activiteiten, projecten, producten en assets.
ISO 31000 is hiermee een alternatief voor bijvoorbeeld het COSO-model, wat ook recent een update heeft gehad, en RISMAN, wat vooral gebruikt wordt voor risicomanagement bij projecten.
De eerste versie van ISO 31000 dateert van 2007 en is in 2009 daadwerkelijk in werking getreden. In 2018 is men gestart met het updaten van de oude richtlijnen, wat heeft geleid tot ISO 31000:2018. Deze vernieuwde richtlijn is sinds medio 2019 actief. Bij de voorstellen voor aanpassingen is veel Nederlandse inbreng geweest.