ZBC Kennisbank

Pragmatische invoering van risk management conform ISO 31000

 

U wilt uw risk management verbeteren, al dan niet conform ISO 31000. Waarschijnlijk zijn eisen van toezichthouders, financiers en/of andere stakeholders de aanleiding voor deze stap. Zij willen steeds meer transparantie en zekerheid. U wilt echter voorkomen dat u een papieren tijger, dus iets onbruikbaars, creëert of dat het teveel gaat kosten. In tegenstelling tot andere managementsystemen is risk management immers een operationeel proces voor de directie of RvB. Bij ieder besluit om de investeren in middelen of projecten zal een risico afweging plaatsvinden. Risk management moet daarom vooral praktisch en pragmatisch zijn.

In het artikel ‘Valkuilen van ISO 31000 voor risk management’ hebben we een aantal valkuilen beschreven, die u in elk geval moet vermijden. Dat betekent dat u:

  • risk management niet moet zien als iets voor experts, maar als van en voor bestuurders;
  • niet een nieuw eiland moet creëren, maar moet kiezen voor integratie;
  • niet het objectieve risico centraal moet stellen, maar de vraag “Is dat erg?”;
  • geen opportunistische, incident-driven aanpak moet hanteren;
  • een complexe aanpak moet voorkomen.

ISO 31000 als ISO plug-in model

In het artikel ‘Afbakening van uw risk management systeem en de relatie met andere managementsystemen’ hebben we beschreven, dat ISO 31000 vooral dienend moet zijn aan de directie en aan de andere managementsystemen.

ISO 31000 wordt dan een soort ISO plug-in systeem, dat vooral organisatorisch en procedureel bepaalde essentiële zaken regelt, die vervolgens overgeërfd worden door de andere management systemen. Het gevecht om managementaandacht kan dan tot het verleden behoren. Dit wordt ook doorgevoerd in nieuwe versies van ISO-systemen zoals bijvoorbeeld ISO 9001, 14001, 18001 of 27001. (Zie ook ‘Herziening ISO 9001: High Level Structuur – HLS’).
Kern van dit ISO plug-in model zijn:

  • een eenduidige rapportage aan de directie van de bedrijfsrisico’s over alle managementsystemen heen;
  • het benoemen van proceseigenaren;
  • het integreren van risk management via een impactanalyse in de besluitvorming;
  • het opstellen van een integrale Ethische Code.

Daarnaast heeft ieder aspectgebied zijn eigen proceseigenaar, eigen experts, eigen beleid, eigen risico’s, eigen maatregelen, eigen incidentafhandeling en eigen audits, en natuurlijk zijn eigen invulling van de managementcyclus.

iso27002_6

De genoemde vier onderdelen van het ISO plug-in systeem vormen tevens de kern van de invoering van ISO 31000. We zullen ze hieronder één voor één kort bespreken.

Eenduidige managementrapportage risico’s

Hoewel de inrichting van de managementcyclus verschilt per ISO-systeem, zal de rapportage eruit aan de directie gesynchroniseerd moeten worden. Het moet geen uitvoerige inhoudelijke beschrijving zijn, maar een overzicht waarmee de directie in één oogopslag kan zien waarop zij haar aandacht moet richten.
Het stoplichtmodel is hiervoor zeer bruikbaar, mits dit goed wordt toegepast.

rapportage_risicoprofiel2

De rapportage moet namelijk meer doen dan alleen weergeven wat het objectieve risico is. Die moet ook het antwoord geven op de vraag “Is dat erg voor onze organisatie?”. Vandaar de tweede as, de as ‘noodzaak’, die beschrijft hoe belangrijk een aspect gevonden wordt in de eigen situatie. Dit zal moeten worden aangegeven door de proceseigenaar.
In de rapportage moeten in principe vier zaken weergegeven worden:

  • de situatie tijdens de vorige rapportage;
  • de prognose van toen over de huidige situatie;
  • de werkelijke situatie nu;
  • de prognose voor de situatie bij de volgende rapportage na uitvoering van het actieplan.

Hieronder ziet u een uitwerking voor ISO 27001 (informatiebeveiliging):

iso27002_3

De cijfers in de vakjes zijn de waarden die zijn toegekend aan respectievelijk de noodzaak (0 t/m 3) en het risico (1 t/m 4).
Uit dit voorbeeld blijkt ook, dat risico’s nog niet worden herijkt, in termen van noodzaak, dit om een incident-driven besluitvorming van het management te voorkomen. Herijken kan eventueel later. Een verdere uitwerking van dit voorbeeld vindt u in ‘Managementrapportage risicoprofiel informatiebeveiliging ISO 27001 en 27002’.

Benoeming proceseigenaren en impact analyse investeringsvoorstellen

Ieder ISO managementsysteem kent zijn eigen proceseigenaar. Een proceseigenaar is een lid van de directie of het MT, die van de directie het mandaat heeft gekregen om voor risico’s antwoord te geven op de vraag “Is dat erg”. Hij wordt ook geacht bij besluitvorming door de directie of het MT de impact van het besluit te bepalen voor de aspectgebieden waarvoor hij proceseigenaar is.
In de meeste organisaties is er een standaardformulier voor het indienen van investeringsvoorstellen. Dit kan gaan over duurzame productiemiddelen of projecten boven een bepaalde minimumgrens (tekenbevoegdheid directie). Altijd wordt hierin aangegeven wat de kosten en baten zijn, maar zelden wat de impact is op andere operational risks. Dit kan eenvoudig gebeuren, door een A4-tje toe te voegen voor een korte impactanalyse, zoals in onderstaand voorbeeld. Ook hier ziet u, dat dit een bedrijfsspecifiek A4-tje is.

Zo wordt voorkomen dat besluitvorming alleen plaatsvindt op financiële gronden en worden operational risks niet alleen meegewogen tijdens de managementcyclus maar ook in de dagelijkse besluitvorming van de directie.

Integrale ethische code

Natuurlijk zijn gedragscodes het afdichtmiddel voor al die situaties waarin de naleving van maatregelen niet controleerbaar is of waarin maatregelen zelfs ongewenst zijn. Vaak zijn ze niet meer dan een juridische constructie om te voorkomen dat men bij geschillen verwijtbare tekortkomingen kan constateren. Maar rechters oordelen tegenwoordig vaak anders. Als een organisatie niet klip en klaar is over wat van medewerkers wordt verwacht, dan is dit verwijtbaar aan de organisatie, zelfs al heeft de medewerker getekend voor gedragscodes. Vanuit juridisch perspectief is een gedragscode dus onnodig en zinloos.
Als er iets duidelijk wordt voor het komende decennium, dan is het wel dat organisaties moeten komen tot een bedrijfsbrede strategie met betrekking tot allerlei doelen die de organisatie wil bereiken. Dit alles valt niet meer te vangen in gedragscodes die worden opgesteld vanuit de verschillende disciplines binnen de organisatie.
Wat nodig is, is dat een bedrijf één samenhangende code heeft, die vooral positieve energie geeft en inspirerend werkt, een code waarvoor het hoogste management graag de zeepkist beklimt, zowel voor eigen medewerkers als voor ketenpartners, toeleveranciers en vooral ook klanten. Een organisatie bestaat tenslotte in een wereld, die niet ophoudt bij de bedrijfsmuren.

In een dynamische omgeving past beter een extern gerichte, ethische code dan intern gerichte gedragscodes. Meer over het opstellen van een Ethisch Code voor uw organisatie vindt u in het artikel ‘Vervang uw gedragscodes door één ethische code’.

Maak het niet te complex

Als u erin slaagt het hierboven beschreven model werkend te krijgen in uw organisatie, dan heeft u al een heel grote stap voorwaarts gemaakt. Want laten we wel wezen: managementsystemen moeten geïntegreerd zijn in de dagelijkse bedrijfsvoering en juist ISO 31000 heeft impact op de dagelijkse bedrijfsvoering van de directie. Zij is immers verantwoordelijk voor het risk management, dus ook voor de operational risks.
Een ander voordeel van deze opzet is, dat u op deze wijze ook een inbedding heeft voor uw business continuity plan. Dit plan moet het antwoord zijn op wat er moet gebeuren in geval van calamiteiten die u niet wilt of kunt voorkomen met preventie (vaak te kostbaar) of die u niet wilt of kunt verzekeren. (Zie ook ‘Business Continuity Plan: uw dekking voor onverzekerde schade’.) Meestal is de proceseigenaar voor business continuity moeilijk te vinden. Dat probleem is hiermee echter gelijk opgelost.

Dat het risk management systeem mogelijk beter kan, zal ik niet bestrijden. Het risico bestaat echter, dat dat ten koste gaat van de begrijpelijkheid en het draagvlak. En dat zijn twee absolute randvoorwaarden om het geheel werkend te krijgen. U moet niet het risico willen lopen dat u dit niet werkend krijgt. Het is niet voor niets risk management.

Team Kikk ondersteunt zijn klanten met het pragmatisch inrichten en onderhouden van een werkbaar kwaliteits- en risk managementsysteem voor o.a. ISO 9001:2015 of ISO 27001.
DownloadDownload artikel als MS Word document Download artikel als PDF document Print deze pagina Verstuur deze pagina naar een vriend (email)
Auteur(s): Wiebe Zijlstra | 11 januari 2014 | Copyright: ZBC


2 Responses to “Pragmatische invoering van risk management conform ISO 31000”

  1. Theo de Wit schreef:

    Uw tabel voor ISO27001 hierboven is er een uit de Annex A van ISO27001:2005;
    Dat zijn de maatregelen. ISO27001 is een beschrijving van de verplichtingen van een Information Security Management Systeem (ISMS).
    ISO27001:2013 Annex A bevat inmiddels 18 hoofdstukken.
    Overigens niets dan lof voor uw heldere en eenvoudige uitleg.

  2. […] Pragmatische invoering van risk management conform ISO 31000 […]

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *